引論:我們為您整理了13篇網絡安全的技術范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
【Key words】Network safety;Calculator
對現代社會而言,計算機網絡的普及的發展,將會對社會生產和生活的各個方面都產生十分巨大的影響,特別是網絡作為一種生產和生活工具被人民廣泛接納和使用之后,計算機網絡的作用將會變得更為巨大。
隨著Internet的發展,網絡安全技術也在與網絡攻擊的對抗中不斷發展。從總體上看,網絡安全經歷了從靜態到動態、從被動防范到主動防范的發展過程,下面就網絡安全中的主要技術作一簡介,希望能為網民和企業在網絡安全方面提供一個網絡安全方案參考。
1.數據加密技術
與防火墻配合使用的安全技術還有數據加密技術是提高安全所采用的主要技術手段之一,隨著信息技術的發展,網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數據的安全保護外,從技術上分別在軟件和硬件兩方面采取措施,推動著數據加密技術的不斷發展。按作用不同,數據加密技術,主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。
1.1 數據存儲加密技術
目的是防止在存儲環節上的數據失密,可分為密文存儲和存取控制兩種,前者一般是通過加密算法轉換、附加密碼、加密模塊等方法實現;后者則是對用戶資格、權限加以審查和限制,防止非法用戶存取或合法用戶超權存取數據。
1.2 數據完整性鑒別技術
目的是對介入信息的傳送、存取、處理的人的的身份和相關數據內容進行驗證,達到保密的要求。一般包括口令、密鑰、身份、數據等項的鑒別,系統通過對比驗證對象輸入的特征是否符合預先設定的參數,實現對數據的安全保護。
1.3 數據傳輸加密技術
目的是對傳輸中的數據流加密,常用的方法有線路加密和端——端加密兩種。前者側重在線路上而不考慮信源與信宿,是對保密信息通過各線路采用不同的加密密鑰提供安全保護。后者則指信息由發送者端自動加密,并進入TCP/IP數據包加封后作為不可閱讀和不可識別的數據穿過互聯網,當這些信息一旦到達目的地,將自動重組、解密,成為可讀數據。
1.4 密鑰管理技術
為了數據使用的方便,數據加密在許多場合集中表現在為密鑰的應用,因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有:磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生、分配保存、更換與銷毀等各個環節上的保密措施。轉貼于
2.防火墻技術
所謂防火墻就是一個把互聯網與內部網隔開的屏障。防火墻有二類,標準防火墻和雙家網關。標準防火墻系統包括一個Unix工作站,該工作站的兩端各接一個路由器進行緩沖。其中一個路由器的接口是外部世界,即公開網;另一個則聯接內部網。
標準防火墻使用專門的軟件,并要求較高的管理水平,而且在信息傳輸上有定的延遲。雙家網關(Dual home gateway)則是標準防火墻的擴充,又稱堡壘主機(Bastion host)或應用層網關(Applications layer gateway),能同時完成標準防火墻的所有功能。其優點是能運行更復雜的應用,同時防止在互聯網和內部系統之間建立的任何直接的聯系,可以確保數據包不能直接從外部網絡到達內部網絡,反之亦然。
隨著防火墻技術的進步,雙家網關的基礎上演化出兩種防火墻配置,一種是隱蔽的主機網關,另一種是隱蔽智能網關(隱蔽子網)。隱蔽主機網關是當前一種常見的防火墻配置,顧名思義,這種配置一方面將路由器進行隱蔽,另五方面在互聯網之間安裝保壘主機,堡壘主機裝在內部網上,通過路由器的配置,使該堡壘主機成為內部網與互聯網進行能通信的惟一系統。目前技術是為復雜而安全級別最高的防火墻是隱蔽智能網關,它將網關隱藏在公共系統之后使其免遭直接的攻擊。隱蔽智能網關提供了對互聯網服務器進行幾乎透明的訪問,同時阻止了外部未授權訪問者對專用網絡的非法訪問。一般來說,這種防火墻最不容易被破壞的。
3.智能卡技術
一數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡是密鑰的一種媒體,一般就像信用卡一樣,由授權用戶所持有并由該用戶賦予它一個口令或密碼字。該密碼與內部網絡服務器處注冊的密碼一致。當口令與身份特征共同使用時,智能卡的保密性能還是相當有效的。
篇2
1.2口令簡單
隨著網絡技術的發展,為了防止網絡信息的泄露,大多計算機用戶都會在計算機中設置密碼,從而禁止陌生人的訪問權限,一般計算機用戶會設置開機密碼,也會對電子郵箱設置密碼從而來限制訪問權限。但是有部分計算機用戶沒有設置密碼,致使攻擊者能夠輕而易舉地在計算機上建立空鏈接來遠程控制計算機。當然若設置的密碼較為簡單也能夠使計算機輕易被攻擊。
1.3木馬程序
計算機中木馬程序是由木馬和控守中心組成,在計算機中是一種較為隱蔽的遠程控制軟件。一般為了防止計算機被追蹤,會在計算機程序中增加跳板,從而更好的連接控守中心和木馬。木馬利用跳板來聯系控守中心,而操作控守中心的人可以利用網絡來控制用戶的計算機,從而來監視用戶的舉動,竊取用戶的文件資料,甚至是監聽用戶的談話內容。計算機系統漏洞會導致木馬病毒攻擊計算機,其攻入計算機的途徑多樣,如利用用戶瀏覽網頁的空隙潛伏在連接上,藏于郵件的附件以及程序中,從而來攻擊計算機。當然木馬很善于隱藏技術,有些木馬利用代碼注入技術潛伏在計算機系統程序中,有些木馬改變名字如window.exe等,利用用戶不了解計算機系統來隱藏自己。木馬病毒攻擊計算機可能會導致計算機系統的崩潰。
1.4嗅探器
網絡嗅探就是網絡監聽,是利用計算機中的網絡共享通道來獲取數據,是較為高端的網絡技術。當然嗅探器進行監聽的途徑有兩種:一是利用網絡連接設備來進行監聽活動,如將監聽軟件放置在網關服務器上;二是利用具有安全漏洞的局域網來進行監聽活動。在一般的網絡環境中,網絡信息是以明文的方式進行傳輸,間諜只要獲取一臺主機的管理員權限,就可以對局域網的數據進行監聽活動,操控計算機。而網絡監聽軟件可以將用戶的聊天記錄以及電子郵件密碼全部監聽,在互聯網上較為盛行的監聽軟件是MSN,一般安裝MSN軟件之后,可以對本地局域網中使用MSN軟件用戶的聊天內容進行監聽活動。
2網關攻擊技術對網絡安全的作用
網絡技術的發展,使得網絡攻擊技術越來越高端,要想減少黑客以及間諜的攻擊,保證網絡的安全,必須要對網絡攻擊技術進行深入剖析,使其能有效保障網絡安全。
2.1網絡攻擊技術的雙重性
互聯網具有開放性,由于網絡技術的發展,很多網絡技術開始進行跨國攻擊,竊取別國的機密文件,為此不僅要積極防御網絡攻擊,還要努力提高自身的網絡安全技術。雖然網絡攻擊技術有著一定的缺點,但是我們要用發展的眼光來看待網絡攻擊技術,網絡攻擊技術有利于網絡的安全。網絡攻擊技術的發展,使得我們必須要去研究了解它,保證網絡的安全,隨著信息技術的發展,要想保證國家信息的安全,必須要不斷開發具有知識自主產權的網絡安全產品。
2.2網絡攻擊技術促進了網絡技術的發展
網絡攻擊技術的發展,使得網絡產品不斷改善,從而促進了網絡安全。黑客和間諜利用網絡技術對計算機進行攻擊,從一定程度上促使了網絡安全產業的發展,從而推動了互聯網的發展,網絡攻擊技術能夠帶來技術的創新。當然網絡管理人員能夠充分利用網絡攻擊技術來找出網絡系統的安全漏洞,采取一定的措施來加強網絡的安全,從而使網絡攻擊技術服務于網絡安全。
2.3網絡攻擊技術為國家安全服務
隨著社會經濟的發展,信息化程度日益加深,人們的日常生活越來越離不開網絡,許多網絡都存在著管理漏洞,容易使機密文件泄露,因此網絡安全對于國家的國防安全以及經濟發展十分重要。必須要防御網絡攻擊技術,增強網絡安全,這樣才能在未來的信息戰中取得勝利。
篇3
1入侵檢測技術概述
1.1入侵檢測的簡介
入侵檢測技術,是一種對計算機網絡的程序進行入侵式的檢測先進技術,它肩負著網絡安全中第二道防線的任務,起到保護計算機網絡安全的作用。入侵檢測是通過對安全日志、行為、審計和其他可獲得的信息以及系統的關鍵信息的收集并作出分析,以此檢測出計算機網絡中違反安全策略的行為和受攻擊的對象的一個工作過程。它實施保護工作的過程具體可分為:監視、分析網絡用戶和網絡系統活動;網絡安全系統構造和弱點的審查評估;認定反映已知進攻活動并作出警示警告;網絡系統異常行為的統計和分析4個步驟。入侵檢測技術能夠同時兼備實時監控內部攻擊、外部攻擊和錯誤操作的任務,把對網絡系統的危害阻截在發生之前,并對網絡入侵作出響應,是一種相對傳統的被動靜態網絡安全防護技術提出的一種積極動態網絡安全防護技術。
1.2工作原理
入侵檢測系統相當于一部典型的窺探設備,它的工作原理是在不用跨接多個物理網段也不用轉發流量的前提下,通過收集網絡上靜態的、被動的相關數據報文,提取出所收集的數據報文的流量統計特征的相關數據與入侵檢測系統內置的入侵數據進行智能化的匹配和分析,如果出現匹配耦合度高的數據報文流量,那個它就被認定是入侵攻擊,網絡入侵檢測系統就會根據計算機系統所設定的閥值和相應的配置激發報警并對認定的入侵攻擊進行一定的反擊。
2入侵檢測技術網絡安全中的具體運用
入侵檢測技術包括了聚類算法、數據挖掘技術和智能分布技術等幾個方面。入侵檢測技術在網絡安全中的運用,重點是這幾種檢測技術合理的運用,具體如下。
2.1聚類算法的運用
入侵檢測技術當中的聚類算法在網絡安全的運用具有可以在脫離指導的情況下開展網絡異常檢測工作。可以將沒有標記的數據的工作相似的數據歸到同一類中,并對網絡安全系統運行中存在的異常的數據迅速高效地識別出來。運用到網絡安全,大大提高了網絡運行的可靠程度,使網絡安全的級別更上一個級別。在實際情況中,網絡中通常存在著種類比較多的數據,當中還包括了大量的相似數據,這些數據如同定時炸彈般隱藏著極大的危險,如不能及時發現并攔截處理,就會破壞網絡安全系統,而聚類算法的運用就解決了這一問題,為網絡安全系統正常運行提供了保障。
2.2數據挖掘技術的運用
數據挖掘技術,顧名思義就是對互聯網中的傳輸數據的挖掘和分析,從而找出數據中的錯誤、不規范、異常等的情況,并適當地處理這些非正常的情況。數據挖掘技術在運行速度方面占有絕對的優勢,把它運用到網絡安全工作中,這種優勢能很好的體現出來出來,它運用數據挖掘技術中的關聯算法和序列挖掘算法來提取網絡的行為模式,能夠準確快速地識別網絡中非正常的、不規范的運行程序;并且運用分類算法進行歸類和預測用戶網絡行為或特權程序系統的調用,此外還把聚類算法和數據挖掘技術結合起來,比較和計算出每次記錄之間的矢量距自動分辨和歸類出用戶的登錄記錄、連接記錄,最后,對各分類出來的數據給予相應的處理。
2.3智能分布技術的運用
智能分布技術是基于網絡擴展性、智能性、無關性等相關特性而言的對網絡安全進行檢測的技術。該技術的在網絡安全中的運用,能夠把網絡特別是較龐大復雜的網絡環境劃分成幾個區域來進行檢測,把多個檢測點設定在每一個區域中,在整個網絡安全系統設定一個管理點,對各區域的檢測點進行檢測再集中管理,從而分析檢測出入侵的程序和異常的數據等。這樣不但能提高網絡安全系數,還可以確保對入侵程序快速準確地定位,并及時采取有針對性的處理方法,極大程度地提高了網絡安全系統的運行效率。
3總結
隨著網絡信息技術的飛速發展,網絡應用的領域越來越廣泛,隨之而來出現的網絡安全問題種類也越來越多,危害程度越來越大,傳統的網絡安全防護技術對網絡安全的作用效果逐漸降低甚至失效,入侵檢測技術的出現,挽救了這個局面,通過把聚類算法、數據挖掘技術、智能分布技術等入侵檢測技術相互配合運用到網絡安全中,為網絡安全提供了第二道防線的保護,對入侵網絡的攻擊進行快速有效的攔截和反擊,很大程度降低了入侵攻擊所帶來的傷害,大大提高了網絡安全的系數。是未來網絡安全技術發展的趨勢。
參考文獻
[1]張正昊.淺談計算機網絡信息安全及防護措施[J].科技風,2014(19).
[2]隋新,劉瑩.入侵檢測技術的研究[J].科技通報,2014(11).
[3]孫志寬.計算機網絡安全的現狀及對策研究[J].科技風,2014(19).
篇4
所謂的防火墻,指的是設置在兩個或者多個不同網絡或者網絡安全域之間信息的唯一出入口,所有的網絡信息要想進入內部網絡,必須要通過這一個出入口,因此防火墻成為了一個提供信息安全服務和實現網絡和信息安全的基礎設施,同時防火墻技術也成為了目前人們公認的最有效的網絡安全保護手段。防火墻可以對訪問權限進行有效的控制,從而實現對涉及用戶的操作進行審查和過濾,從而有效的降低計算機網絡安全風險。
1.1計算機防火墻技術
防火墻技術之所以能夠實現對計算機網絡的保護,主要就是因為防火墻可以將內部網絡與互聯網進行分離,正是因為防火墻有著很強的隔離性,所以才使得防火墻技術在計算機網絡安全領域中被廣泛的加以運用。一般在對防火墻進行使用的過程中,所依靠的都是包的外源地址和數據包協議,通過它們來對防火墻進行設置,從而實現有效的隔離。除此之外,防火墻的實現還可以通過服務器的軟件,但是這種方式在實際應用中較為少見。在防火墻技術出現之初,它的功能僅僅局限于對主機的限制和對網絡訪問控制加以規范,但經過多年的發展,防火墻的功能也進一步的得到了完善,當前,防火墻已經可以完成解密和加密等功能,除此之外,還能夠實現對文件的壓縮和解壓,從而使得計算機網絡安全得到了有效的保證。
1.2防火墻的主要功能
隨著網絡技術的不斷發展,防火墻的功能已經變得十分豐富,其功能主要有以下幾個方面:第一,防火墻可以對本機的數據進行有效的篩選和過濾,通過對信息的篩選和過濾,可以有效的避免非法信息以及各種網絡病毒的攻擊和入侵,從而保證計算機信息的安全;第二,防火墻還可以對網絡中一些特殊的站點進行較為嚴格的規范,因為在這些站點中往往存在著可以對計算機網絡安全進行破壞的一些病毒文件,所以通過對這些站點的規范,可以有效避免人們因為無意操作而給計算機網絡帶來的風險;第三,防火墻還能夠較為徹底的對一些不安全訪問進行攔截,外部人員如果想進入內部網絡,必須先要經過防火墻的審查,只有審查合格,防火墻才會允許進入,但是在防火墻的審查過程中,是有著非常多的環節的,如果任何一個環節的審查出現了問題,該訪問將會被防火墻過濾,從而有效的減少了網絡安全問題的出現;第四,防火墻還可以對網絡運行中所產生的各種信息數據加以保護,如果防火墻發現了網絡中出現有威脅網絡安全的非法活動,防火墻將于第一時間發出警報,并且采取相應的措施來對其進行處理,有效的避免網絡安全風險。
2防火墻的常用技術及其在網絡安全中的應用
2.1數據包過濾技術及其應用
數據包過濾技術主要分為組過濾和包過濾兩種,數據包過濾技術是一種較為通用的防火墻技術,并且它也較為廉價和有效。數據包過濾技術主要是在計算機網絡的網絡層和傳輸層發揮作用。它可以通過對分組包的源、宿地址、端口號機協議類型和標志確定是否允許其通過。而該技術所依據的信息主要是來源于IP、TCP或者UDP包頭。包過濾的主要優點就在于其對于用戶來說是完全透明的,處理速度也非常的快,而且十分易于維護,因此在使用的過程中較為方便,通常包過濾都是被作為網絡安全的第一道防線。但是包過濾路由器一般都是沒有用戶的使用記錄的,所以我們也就不能夠看到入侵者的攻擊記錄,而且隨著計算機技術的不斷發展,攻破一個單純的包過濾式防火墻對于現代的黑客來說也較為簡單。當前的黑客往往都采用“IP地址欺騙”的方式來攻破包過濾式防火墻,所以為了進一步的提升網絡的安全性,現在已經將包過濾技術作為網絡安全的第一道防線,而進一步發展起來了技術。
2.2服務技術及其應用
服務技術是在數據包過濾技術之后發展起來的,但現在服務技術已經成為了防火墻技術中使用頻率較高的一種技術,而且服務技術也擁有非常高的安全性能。服務軟件往往是運行在一臺主機上的,通過在這一臺主機上的運行來構成服務器,并且負責對客戶的請求進行截獲,然后再依據它的安全規則來決定該請求是否可以得到允許。如果得到了服務器的允許,該請求才能夠被進一步的傳遞給真正的防火墻。一般而言,服務器是外部可以見到的唯一的防火墻實體,所以說服務器對于內部用戶而言是完全透明的。除此之外,服務器還可以對協議特定的訪問規則進行應用,從而來執行基于用戶身份和報文分組內容的訪問控制。這種防火墻技術可以對網絡信息的交換進行完全的控制,并且還可以記錄整個會話的過程,有著很高的靈活性和安全性。但是服務技術也有著自身的缺陷,那就是有可能會對網絡的性能造成一定的影響,而且對于每一個服務器都要進行一次模塊的設計,并且建立起相應的網關層,所以其實現往往較為復雜。
2.3狀態監測技術及其應用
狀態檢測技術是一種在網絡層來實現防火墻功能的技術,狀態監測技術所使用的是在網關上執行安全策略的軟件模塊,這個模塊被稱為監測引擎。監測引擎不同于服務器,不會對網絡的正常運行造成任何影響。并且監測引擎還可以采用抽取有關數據的方法來對網絡通信的各層進行檢測,抽取相應的狀態信息,然后動態的加以保存并將其作為以后執行安全策略的一個參考。除此之外,監測引擎還可以支持多種協議及應用程序,還可以有效的實現應用和服務的擴充。相比于之前的兩種防火墻技術而言,狀態監測技術可以更好地對用戶的訪問請求進行處理,因為狀態監視器會抽取有關數據來進行分析,然后再通過對網絡配置和相應的安全規定的結合,來做出相應的接納、拒絕、身份認證、報警或者給該通信加密等一系列的處理動作。
作者:李慧清 單位:內蒙古化工職業學院
引用:
篇5
1.1防火墻定義
防火墻主要是指為了維護網絡安全,在本地網絡同外界網絡之間形成一道屏障,也就是電腦防御系統,它能夠將外界同本地網絡之間傳輸的數據智能分析,結合相應的安全檢查標準,來決定該數據是否允許通過,有效防止外部人員來查看內部網絡地址以及運行狀況,并為用戶提供安全和審計的控制點,從而實現保護網絡安全的最終目的。究其本質,防火墻技術就是一種防御控制技術,設計主題思想就是在不安全的網絡環境下,營造相對安全的網絡環境,實現對數據傳輸的分析和控制。所有通過外界傳輸到本地網絡中的數據需要具有安全認證和授權,實現外界網絡和本體網絡的分離,確保用戶數據安全。此外,防火墻既可以是軟件,同時也可以是硬件,或者軟件和硬件兼容。
1.2防火墻的作用
使用防火墻技術的主要目的是為了防止外界網絡對本地網絡的干擾和破壞,具體表現在以下幾個方面:其一,防火墻技術能夠阻止外界網絡未經許可侵入內部網絡,阻攔非法用戶和服務的進入,使本地網絡免遭入侵和攻擊;其二,防火墻技術提供站點訪問控制服務,允許或者組織外部網絡訪問本地網絡,形成阻攔機制;防火墻技術能夠滿足網絡安全管理需求,簡化管理方式,對系統進行加固處理,并非是分布在網絡主機上,將其他身份信息放在防火墻系統數據庫中,優化網絡訪問安全;其三,防火墻技術通過封鎖域名的方法,來阻止其他外部網絡入侵本地網絡,防止私密信息泄露;其四,當本地網絡同外部網絡連接時,需要經過防火墻系統,經由防火墻系統來判定網絡數據傳輸是否安全,有無攻擊惡意,將數據統計結果進行智能分析,更好的維護網絡安全。
2防火墻技術原理
防火墻技術主要包括智能包過濾技術、運行檢測技術以及服務技術。智能攔截技術主要是指在本地網絡和外部網絡連接過程中,在IP協議下,及時準確的在鏈路層IP協議之前攔截數據包。通過對數據源頭IP地址、目的地址以及端口號等信息進行智能檢查,安全分析預先配置情況,來決定數據傳輸是否可以通過防火墻安全系統。同時可以根據TCP序列號的邏輯分析來判定數據信息是否存在惡意,是當前較為有效的安全防御手段。這種技術由于多數路由器內部均設置了此功能,所以無需額外增加費用,同時在使用過程中完全透明,并不需要登陸用戶名和密碼,系統運行速度較快。但是無論何種技術,隨著科學技術水平的快速發展,均會產生一系列的問題和不足之處。包過濾技術的缺點主要在與配置訪問控制列表過于復雜,需要網絡技術管理員不斷加深對網絡服務的認知;隨著訪問控制列表長度增加而指數下降;缺乏有效跟蹤能力,無法全面記錄外部網絡攻擊情況,更加無法有效鑒別用戶IP地址是否被盜用。對數據傳輸檢查中,只能檢查數據發源地址、目的地址以及端口,卻無法對網絡鏈路層協議存在的安全隱患進行檢查。
總的來說,該項技術在智能識別方面仍然存在不足,有待進一步完善。檢測技術,是一種動態的包過濾技術,是在傳統包過濾基礎上演化而來的,并且在防火墻技術中應用效果良好,主要在網關上實施網絡安全策略,是一種檢測模塊。在不影響網絡正常運行的前提下,通過數據的隨機抽取進行檢測,將動態檢測信息保存記錄,為后續安全系統完善提供一定參考依據。檢測模塊能夠支持不同類型的協議以及應用程序,實現服務的擴充,但是由于內部結構復雜,網絡數據傳輸速度并不快。該項技術有著獨特的優勢,在一定程度上避免了其他防火墻技術的限制,有著較高的安全性能,在數據鏈路層以及網絡層之間進行檢測,獲取數據信息,能夠更好的對通過網絡安全系統的數據信息進行檢查,拓寬安全范圍;數據信息處理效率高,在對數據信息進行檢查時,對非法訪問行為進行攔截,不需要在其他協議上處理,執行效率更高;檢測防火墻技術不區分具體應用程序,只是單純的運用安全策略來處理信息包;應用范圍廣,狀態檢測不僅支持TCP應用,而且能夠支持其他無連接協議的應用,滿足用戶的更多需求。
3防火墻技術在網絡安全中的應用分析
3.1包過濾防火墻
包過濾防火墻技術主要是通過IP協議實現,通過路由器就能滿足網絡安全需求,對系統網絡、端口的訪問控制有眾多應用,可以檢查所有通過防火墻的數據信息源頭IP地址和目的IP地址,目的端口和源端口。在實際應用中,能夠有效防止IP地址詐騙,防止不安全的網絡服務侵入,并通過端口和服務的合理設置,來調節系統功能。包過濾防火墻技術是當前應用最為廣泛的技術之一,主要是通過計算機處理器來處理報文,處理時間可以忽略不計,這種安全保護措施對用戶處于透明狀態,保證用戶合法進出網絡,甚至無法感覺到它的存在,使用起來更加方便,滿足用戶的各項需求。同樣的,包過濾防火墻技術存在一定的缺陷和漏洞,無法對用戶級別進行包過濾,無法識別用戶的IP地址是否被盜用,如果有入侵者將主機的IP地址更改成合法的IP地址,這樣就可以規避該技術的安全檢查,輕松入侵內部網絡。
3.2檢測防火墻
檢測防火墻能夠根據網絡系統運行狀態智能攔截數據信息包,并且從各個應用層中提出安全策略需要的數據信息,將其統一放在動態狀態表中,由檢測防火墻對狀態表以及網絡后續請求綜合分析,做出安全管理決定。檢測防火墻對網絡各個應用層進行監測和管理,對網絡系統中存在的漏洞及時進行控制,記錄存在的安全漏洞以及非法行為,由網絡系統安全管理員排查漏洞,不斷改進系統安全性能,防范可能發生的安全問題。此外,檢測防火墻能根據記錄的攻擊行為進行分析,在防范措施列表中尋找到適合的安全控制對策,在網絡層上,檢測防火墻可以采取此類方法來處理系統中存在的漏洞和攻擊行為。由此看來,此項技術在實際應用中取得了較為可觀的成效,以其獨特的安全性能和處理效率受到一致好評,相較于包過濾技術以及技術更為實用。
4結論
綜上所述,隨著網絡技術的快速發展,網絡安全問題受到越來越多的關注,防火墻作為當前主流網絡安全保護措施,在實際應用中取得了較為可觀的成效。但是隨著黑客技術的日益更新,對防火墻技術提出了更高的要求,需要不斷進行創新,來解決網絡中存在的安全漏洞。此外,防火墻技術盡管能在一定程度上提升網絡安全,但是并不能保證網絡完全不受到攻擊,所以,為了進一步實現網絡安全,應健全和完善相應的安全體系,整合各種先進網絡安全技術,配合科學的安全管理措施,全面提升網絡安全防御成效。
參考文獻
[1]易偉,彭淑華.淺析防火墻技術在網絡安全中的應用[J].網友世界,2013.
[2]戴銳.探析防火墻技術在計算機網絡安全中的應用[J].信息與電腦(理論版),2011.
[3]馬利,梁紅杰.計算機網絡安全中的防火墻技術應用研究[J].電腦知識與技術,2014.
篇6
防火墻;入侵檢測;聯動;網絡安全
隨著互聯網的深入發展,網絡攻擊方式層出不窮,令人防不勝防;而防火墻和入侵檢測作為防護網絡安全的兩種重要技術手段,雖被廣泛采用,但由于自身缺陷,使得兩者的防范內容不盡相同。比如防火墻只能防范來自外部的攻擊而無法解決來自網絡內部的攻擊;入侵檢測只能識別攻擊發出報警卻不能自動產生適當的響應去阻止攻擊等等,為了滿足網絡安全整體化的要求,提出將防火墻和入侵檢測這兩種具有較強互補性的技術整合在一起進行聯動,揚長避短,充分發揮各自的優勢,提高網絡安全防護水平,最大程度的保障網絡及信息的安全。
1防火墻技術
防火墻[1]指的是一個由軟件和硬件組合而成的高級訪問控制設備,是置于不同網絡安全域之間執行訪問控制策略的一種或一系列部件的組合。防火墻位于網絡安全防護體系的最外一層,通常會被放置在外網與內網之間的出入口處。作為不同網絡安全域之間通信流的唯一通道,它為實現網絡安全起到了把關的作用。防火墻技術實際上是一種隔離技術,通過制訂安全策略(允許、拒絕、監視、記錄),將內部信任區域與外部不安全區域(如因特網)或內部網不同可信區域有效隔離,最大限度的對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全防護。雖然防火墻能在網關級進行保護,但只提供靜態防御,防御規則事先就已經設置完畢,一旦規則設置有誤或者安全形勢發生變化,防火墻就失去了即時應變的能力,因此它是一種被動的安全防護技術,存在一定的局限性,主要表現為:1)防火墻默認內部網絡都是可信的,如果內部網絡中存在后門,那些不經過防火墻的攻擊數據包進入到內網時防火墻無法防范和響應。2)防火墻的訪問控制策略需事先設置,不能實時調整策略規則來阻止正在進行的攻擊,缺少應變性無法主動防范新的安全威脅。3)防火墻既不能防止受病毒感染的文件或程序的傳輸也不能防止基于某些標準網絡協議的攻擊。
2入侵檢測技術
入侵檢測[2]是對計算機網絡系統中入侵行為的檢測。它通過收集和分析網絡行為、日志數據以及網絡系統中若干關鍵點信息,檢查網絡系統中是否存在入侵或違反規則的行為并及時做出響應,例如斷網、報警、記錄事件信息等。入侵檢測系統簡稱IDS(IntrusionDetectiveSystem)由進行入侵檢測的軟件和硬件所構成。與防火墻的被動防御不同,入侵檢測采取的是一種積極主動地安全防護手段,能在不影響網絡性能的前提下通過旁路監聽方式不間斷地收取網絡數據,主動尋找入侵信號,對系統中的異常現象或未授權的訪問、活動等事件進行審計、追蹤、識別和檢測。入侵檢測不僅能察覺到來自系統外部的入侵,同時也能發現系統內部用戶未經授權的活動,主動保護自己免受網絡攻擊,因此被認為是防火墻之后的第二道安全閘門。盡管如此,入侵檢測技術還是存在一些局限性:1)由于入侵檢測通常依賴特征匹配,每截獲一個數據包都要分析和匹配,檢測其中的數據是否具備攻擊特征,因此會耗費大量的時間和系統資源,使得入侵檢測的檢測速度跟不上網絡數據的傳輸速度,通常在數據包巨多的流量面前它會迅速失效。2)入侵檢測的漏報率和誤報率都比較高,產生漏報的一大原因是攻擊特征數據庫不能及時更新;另外一些舊式的攻擊對已更新的操作系統不起作用,如果模式庫中還存有這些攻擊特征,就會導致入侵檢測頻繁報警,這些無效報警很大程度上無疑加大了入侵檢測的誤報率。3)入侵檢測往往重點都放在對網絡中入侵攻擊行為的識別上,所以即使檢測到攻擊也很難采取有效的保護措施去阻止攻擊。
3防火墻與入侵檢測的聯動
通過以上的分析對比可以看出兩者在網絡安全防護方面都存在一定的缺陷,防火墻側重于提供靜態訪問控制、入侵檢測側重于主動發現入侵。如果把這兩種技術結合在一起,集中二者的長處,形成互補,建立緊密的聯動關系,相互提供保護屏障,既可以提升防火墻的機動性也能增強入侵檢測系統的阻斷能力。
所謂聯動[3]是指通過一種組合的方式,將不同的安全技術進行整合,由其他安全技術彌補某一安全技術自身功能和性能的缺陷,以適應網絡安全立體化、整體化的要求。本文提出的防火墻與入侵檢測系統聯動的方式是指將防火墻和入侵檢測劃分為兩個獨立的子系統,單獨完成各自的任務,兩者之間通過相應的通信接口和協議進行信息共享和互動,實現一體化的主動防御;同時為了防止交互信息被黑客竊取和攻擊,相互間的通信需要進行認證和加密。防火墻與入侵檢測系統之間的聯動協作流程如圖1所示。聯動實現過程如下:1)首先防火墻安置于Internet與內部網絡的連接處,這樣當外網中的數據包要進入內網時就需經過它預先設定的訪問規則控制鏈表,通過篩選過濾數據包可以阻擋一部分攻擊。2)經過防火墻篩選過濾后的數據包以及繞過防火墻沒有經過篩選的數據包都進入到內網中,這時部署在內網中的入侵檢測系統不間斷的提取這些數據包依據自身的規則庫對它們進行分析比對,一旦發現入侵企圖立即報警并將報警信息[4](包括事件入侵類型,源地址,目的地址,源端口,目的端口及阻斷時間等)轉換成統一的報警格式,通過加密、認證后發送給防火墻。3)防火墻收到入侵檢測的通知后立刻做出針對性的改進,動態修改相應的安全策略完善其訪問控制規則,從而避免該攻擊行為的再次發生。4)入侵檢測系統每隔一段時間自動升級入侵特征庫防止當新的攻擊類型出現時,不能及時做出響應。
4結束語
本文根據防火墻和入侵檢測的特點,提出建立防火墻與入侵檢測系統的聯動,這是目前網絡安全產品的發展趨勢;但由于防火墻和入侵檢測本身都是比較復雜的系統,若將兩者結合勢必要對各自的硬件進行升級同時聯動中多了認證和加密,如果在數據傳輸中被假冒和竊聽則防火墻和入侵檢測的性能都會受到影響,今后還需在這方面展開研究,力爭創造一個更加智能、穩固的安全防護系統。
參考文獻:
[1]曲朝陽,崔洪杰,王敬東,等.防火墻與入侵檢測系統聯動的研究與設計[J].微型機與應用,2012(5):48-50.
[2]江保利.防火墻與入侵檢測聯動防御系統研究[J].信息技術,2013(10):28-29.
篇7
數據加密技術的合理使用能夠大大提高計算機網絡的安全,也能夠保護計算機使用人員的經濟利益。下面文章就數據加密技術在網絡安全中的應用進行分析和探討。
2.1確定數據加密技術的使用對象。首先,要想合理的應用數據加密技術,就要對其加密目標進行確定清楚,也就是說要了解使用者的網絡體系,清楚其系統中需要用到加密技術的地方或程序。對此,相關人員要了解幾個方面,主要是使用者的服務器、工作站等可移動設備上儲存的重要信息;計算機重要程序文件信息的存儲位置和類型;重要信息傳遞是否保密和安全;瀏覽網頁和記錄中重要信息是否加密等。
2.2確定采用的數據加密技術類型。然后,針對已經了解到的資料和信息,就要對這些信息加以分析,并采取相應的、不同的數據加密方法,即對稱數據加密技術和非對稱加密技術,此外也要參考使用者計算機的實際情況和使用者的特殊要求。
2.3不同使用對象中,數據加密技術的具體應用。接著,選定好數據加密技術后,就要針對數據加密技術在其對象上進行具體應用,由于使用對象的不同,使得其數據加密技術的應用也不同,下面文章就分別對其進行分析。
(1)網絡數據庫的數據加密技術的應用。現在計算機網絡市場是大多數計算機都是使用WindowsNT和Unix網絡數據管理體系,而這種網絡數據庫的安全防護程度較差,基本安全等級只有C1級或C2級,這樣就使得計算機的信息存儲體系和數據傳輸通道的安全得不到有力的保障,容易被黑客攻擊,造成信息丟失或篡改。因此,對于網絡數據庫的安全防護來說,就應當采取數據加密的技術,可以通過設立計算機網絡訪問權限或設置問題等方式來加密保護數據體系。
(2)電子商務平臺的數據加密技術的應用。近些年,電子商務平臺也日漸增多,其平臺上的經濟貿易往來也較多,這就要求相關人員一定要用到數據加密技術,電子商務平臺的數據加密技術可以通過在其經濟活動中設立數字證書、安全協議、數字簽名等數據加密技術來確保貿易雙方的信息安全。
(3)虛擬專用網絡體系的數據加密技術的應用。對于一些具有自己企業單位的局域網的公司,使用虛擬專用網絡數據加密技術就能夠為其數據的傳輸安全發揮重要的作用,主要可以通過在數據信息進行發送到局域網時采用數據加密技術。
(4)相關軟件體系的數據加密技術的應用。一些殺毒軟件和重要程序軟件如果一旦不慎被病毒感染,就會導致其職能失效,因此對于這些軟件也要使用加密技術,并且在使用該技術時,對改程序和軟件進行全面檢查,保證其檢查過程的功效性和安全性。
篇8
1、公安系統存在問題的特征。1)系統安全問題具有動態性。隨著信息技術的飛速發展,不同時期有不同的安全問題,安全問題不斷地被解決,但也不斷地出現新的安全問題。例如線路竊聽劫持事件會因為加密協議層的使用而減少。安全問題具有動態性特點,造成系統安全問題不可能擁有一勞永逸的解決措施。2)系統安全問題來自于管理層、邏輯層和物理層,并不是單一的。管理層的安全主要包括安全政策及人員組織管理指標方面的內容。邏輯層的安全主要涉及到信息保密性,也就是在授權情況下,高密級信息向低密級的主體及客體傳遞,確保信息雙方的完整性,信息不會被隨意篡改,可以保證信息的一致性。一旦雙方完成信息交易,任何一方均不可單方面否認這筆交易。物理層的安全涉及的內容是多個關鍵設備、信息存放地點等,如計算機主機、網絡等,防止信息丟失和破壞。
2、公安網絡系統中存在的安全問題。1)一機兩用的現象比較普遍。部分公安值班人員在公安網絡中接入自己的私人電腦,同時還包括一些無線上網設備等。外接上網設備通常安裝了無線網卡,外界侵入公安網絡的可能性增大,公安網絡的安全隱患擴大。此外,公安系統中的計算機出現故障,需要檢查維修時,沒有事先格式化計算機,導致系統計算機中的資料泄露,甚至出現“一機兩用”的情況,可以將病毒引入系統中引起信息泄露。
3、安全意識淡薄。公安網絡中的計算機存在濫用的情況,非在編的基層人員在未經允許、教育培訓的情況私自使用公安網絡,從而出現信息泄露的情況,給網絡帶來嚴重的安全隱患。此外,公安部門人員缺乏安全意識,辦公室計算機的保密性不強,安全等級不高,重要軟件、文件等均沒有進行必要的加密處理,很多人員可以隨意訪問公安網絡,降低了公安網絡中計算機及其信息的安全性。
二、網絡安全技術與公安網絡系統的維護方案
1、積極建設網絡信息安全管理隊伍。網絡安全管理隊伍對管理公安網絡具有重要作用。為提升公安網絡的安全性與穩定性,可以定期組織信息安全管理人員進行培訓,強化技術教育與培訓,增強網絡安全管理人員的責任意識,改善管理效率,提升管理水平。
2、充分運用網絡安全技術。1)防毒技術。隨著病毒的傳播速度、頻率、范圍的不斷擴大,公安網絡系統中也需要建立全方位、立體化的防御體系,運用全平臺反病毒技術、自動解壓縮技術與實時監視技術等完善病毒防御方案。為了實現系統低層和反病毒軟件之間的相互配合,達到殺除病毒的目的,公安網絡中的計算機應運用全平臺反病毒技術。利用光盤、網絡等媒介所傳播的軟件通常是以壓縮狀態存在的,反病毒軟件要對系統內部所有的壓縮文件進行解壓縮,清除壓縮包內的病毒,若不運用自動解壓技術,存在于文件中的病毒會隨意傳播。
3、提高系統的可靠性。安網絡系統中一般是以敏感性資料、社會安全資料為主,這些資料被泄漏或者損壞均會產生嚴重后果。為了提升信息資料的安全性,必須定期備份,同時還應增強系統的可靠性。此外,還應明確系統災難的原因,如雷電、地震等環境因素,資源共享中,人為入侵等,針對可能出現的系統災難,可以建立起對應的災難備份系統。災難恢復指的是計算機系統遭遇災難之后,重組各種資源并恢復系統運行。
篇9
網絡技術的進一步發展使得虛擬化網絡技術的應用空間越來越廣泛。信息安全、軍事應用等各項領域均有涉獵。使用虛擬化網絡技術來提升計算機網絡的安全系數是大勢所趨。
1醫院網絡安全的重要性
1.1醫院日常醫療工作正常開展的需要
提升醫院網絡安全是確保醫院正常醫療工作開展的首要條件。在醫院信息系統建設中,不僅僅是醫療服務中涉及到了網絡信息服務的使用,在行政辦公領域、醫療管理領域、質量監控領域、績效考核領域等都涉及到了信息化網絡的應用。因而,可以說在整個醫院的管理過程中,信息化網絡占據著相當重要的地位,醫院網絡是醫生與患者之間相互溝通的媒介。從這一角度而言,醫院網絡是否安全直接關系到整個醫院的運行質量。
1.2患者信息安全保密的需要
隨著互聯網時代的到來,醫院提供信息化的網絡服務,一方面給患者求醫搭建了一個便捷規范的信息交流平臺,另一方面患者的就診信息、醫生的應診信息也會直接在網絡中顯示出來,這就增加了信息的透明度和開放度。而在這樣的大背景下,確保患者就診信息不會被他人所獲取或利用是尊重患者隱私的最佳表現形式。因而將安全的防護技術應用于網絡化建設過程中,會使得醫生輸入患者的各項信息時在存儲于網絡的同時不會被他人非法盜用。其次,使用加密化的信息,處理技術可以確保患者的信息不被泄露,提升醫院網絡的安全性能。因而從這一角度而言,確保醫院網絡安全是實現患者信息安全保密的重要前提條件。
1.3醫院醫療管理創新的需要
因醫院所提供各項服務的信息公開度是不一樣的,因而在管理方面需要區別對待。要根據不同的業務類型、用戶的訪問權限、邏輯網段的大小等信息來綜合考慮劃分網段,這樣一來,不同的VLAN就對應著不同的用戶群,從而使得整個交換式的網絡變得更為安全,保密性更強。傳統醫療信息等數據的存儲依賴于記錄式的管理辦法,但在網絡信息化交流平臺中,醫院的數據存儲量依賴于大數據技術。使用虛擬化網絡技術可以有效地對醫院所存儲的海量數據進行分析,以便于為醫院的管理層制定決策提供有效的數據支持。從這一角度而言,提升醫院網絡安全系數有利于進一步實現醫院醫療管理的創新。
2虛擬網絡技術
本文所提及的虛擬網絡技術又可稱作VPN技術。在虛擬網絡技術中,利用公共網絡服務ATM和因特網的局域性邏輯網絡可以實現數據信息的傳輸,這樣一來既可以在保護數據傳輸安全的同時還可以有效的應用因特網技術。目前在虛擬網絡技術中,根據其所對應的功能不同,大致可分為以下幾個類別:其一,隧道技術,如圖1所示,它可以實現數據信息的二次加密,這樣一來就提升了信息在傳輸的過程中的安全系數。其二,身份認證技術,通過識別登錄網站用戶的身份信息來判定其網站的訪問權限,以免網絡平臺中的加密信息被不法訪問者所利用。其三,加密技術,其主要的工作原理為密碼學,利用密碼學的相關理論,對傳輸的數據進行加密處理,并且以不可讀的代碼形式傳輸到指定的網絡空間,用戶再利用自己手中獨特的解密鑰匙對其進行解密,這樣一來,使得整個信息在傳輸的過程中具有了可靠的保障。1682019.7護數據傳輸安全的同時還可以有效的應用因特網技術。目前在虛擬網絡技術中,根據其所對應的功能不同,大致可分為以下幾個類別:其一,隧道技術,它可以實現數據信息的二次加密,這樣一來就提升了信息在傳輸的過程中的安全系數。其二,身份認證技術,通過識別登錄網站用戶的身份信息來判定其網站的訪問權限,以免網絡平臺中的加密信息被不法訪問者所利用。其三,加密技術,其主要的工作原理為密碼學,利用密碼學的相關理論,對傳輸的數據進行加密處理,并且以不可讀的代碼形式傳輸到指定的網絡空間,用戶再利用自己手中獨特的解密鑰匙對其進行解密,這樣一來,使得整個信息在傳輸的過程中具有了可靠的保障。
3醫院網絡安全所存在的問題分析
3.1關于非法竊聽的問題
非法竊聽指的是在建立網絡平臺時存在的技術漏洞會被電腦黑客所利用,他們利用某種破譯程序非法獲取醫院就診患者的相關信息。這使得電子通信的安全系數受到了很大的影響。之所以非法竊聽可以獲取到信息是因為醫院網絡中使用了大量的無線電路。而這些無線電路最顯著的特征則是信息開放性較強,具有的防護能力較弱,這就為黑客的攻擊提供了可操作的空間。
3.2關于盜取數據的問題
盜取數據是醫院安全網絡中所存在的另一大問題。利用醫院網絡中所暴露出來的技術漏洞,電腦黑客就會將其數據利用非法的途徑盜取出來,再傳播給第三方。他們在登錄該網站時會將自己的登錄信息偽造成合法登錄者的賬戶,然后再竊取該賬戶所對應的數據信息。
3.3關于非法基站的問題
在無線網絡中接入非法基站也是威脅醫院網絡安全的重要影響因素,通過該基站的接入,不法分子就可直接獲取到重要的數據信息。因其潛藏的時間較長,而且不易被發現,這使得非法基站的存在極大程度上影響了醫院網絡安全。
3.4非法攻擊手段
借助于物理的方式,黑客會一些干擾,使得用戶在獲取相關數據時,受到一定程度上的影響。有時還會借助于高層次的協議來阻礙用戶獲取相關數據信息,這樣一來使得信息在傳輸過程中遇到了較大的阻礙。若黑客所植入的協議等級較高,嚴重時還會使得醫院信息網絡癱瘓。
3.5非法信息
非法信息指的是篡改用戶的信息,利用其非法獲得的賬戶一些不實的消息并誘導更多的人關注到該信息,以達到欺詐的目的。在這一過程中,若用戶相信了這些虛假信息就會給他們帶來巨大的經濟損失。
4虛擬網絡技術在計算機網絡安全中的應用
虛擬網絡技術在計算機網絡安全領域中應用得較為頻繁。結合醫院網絡安全領域,探討了虛擬網絡技術的應用情況,如下所述。
4.1在醫院及其合作客戶之間的應用
共享大量的有效資料信息是醫院和其他客戶之間合作的顯著特征。為了確保資料傳輸的有效性以及安全性,可使用虛擬網絡技術建立數據傳輸所用的專用文件夾,并將相關有效信息存儲于該文件夾內,再使用信息防火墻將該信息與其他信息進行隔斷。這樣一來,在保證醫院與客戶之間信息共享的同時,又可避免非法用戶盜取有用信息,以此來確保雙方合作的安全,避免有效數據丟失,給雙方帶來不可挽回的損失。
4.2醫院內部各部門之間的應用
醫院各部門工作效率的提升很大程度上依賴于其結構組織的扁平化發展,這樣可以有效地降低部門與部門之間工作的誤差率。實現醫院結構扁平化發展,需要從信息在部門之間的流通程度來看。使用虛擬網絡技術可以最大程度地讓各部門之間的資源實現共享。虛擬網絡技術可以在局域網內連接醫院內部各個分支機構,并在該局域網內使得數據進行有效的傳輸,這樣不僅加快了信息傳播的速度,還提升了信息傳播的安全系數,防止因公共網絡的不穩定而造成傳輸的信息數據被破壞。
4.3醫院以及遠程人員之間的應用
利用虛擬網絡技術還可以構建醫院虛擬專用網。該網站的連接中心是醫院總部,在醫院計算機網絡出口可使用防火墻來承擔網關的職責。登錄虛擬網絡客戶端,醫院內部人員可從該虛擬專用網中獲取有效的信息,這樣一來使得遠程人員和醫院內部信息的交流有了可靠的保障,還降低了建設信息共享所投入的物理設備終端的資金成本。
4.4計算機網絡信息中的應用
隨著互聯網加時代的到來,計算機網絡技術的發展又得到了不同程度上的提高。因而在醫院計算機網絡安全管理中,若還繼續使用傳統的管理方式來進行管理,就會與時展的腳步逐步脫節,這使得各個部門之間信息的傳輸具有了滯后性。鑒于此點,虛擬網絡技術的應用可以拓寬信息傳輸的渠道,避免傳統信息傳輸管理的弊端,進而實現醫院信息管理的效率化、便捷化。
5關于虛擬網絡安全應用的要點
5.1密碼認證技術
傳統加密技術應用于網絡安全中主要是通過輸入密碼的形式來實現的。但虛擬網絡技術應用于計算機網絡安全中,則需要輸入校驗碼來達到核實信息的目的,這樣一來就可以確保信息在傳輸以及解密的過程中的安全系數。使用注冊賬號、密碼的形式來登錄網站,用戶有可能會因為密碼丟失或忘記或被盜的形式無法正常登錄該網絡。虛擬網絡技術的應用則有效地避免了上述情況的出現,用戶登錄該網絡不再需要賬戶密碼的組合形式。每次登錄,用戶所輸入的校驗碼都是系統統一發放的,因而不存在因密碼丟失或忘記的情況而無法正常登錄該網絡的現象。若新用戶在登錄該網絡時則需要完成用戶認證環節,之后在信息登錄時,就直接可利用注冊的手機號或郵箱號,來獲取動態校驗碼。這樣一來,則有效地避免了用戶因密碼輸入錯誤,而不斷反復輸入造成的浪費時間的現象出現。
5.2病毒防護技術
病毒是威脅網絡安全的重要影響因素之一。它不僅會使得人們的通信受到一定程度的影響,還會使得信息的安全性能受到較大的威脅。因而在計算機網絡安全中使用虛擬網絡技術則需要重視病毒防護技術,將其安裝在殺毒軟件中可以有效地阻止病毒侵入該網站,為網站的正常運行提供一個良好的技術保障。
5.3入侵檢測技術
篇10
2.1互聯網的開放性
“大數據”背景下,因為互聯網的開放性被廣泛的應用各行各業,在產生了大量利益的同時,也吸引了很多不法分子的非法利用,網絡安全問題層出不窮。計算機網絡自身所采用的IP協議的自我保護功能較弱,造成了數據傳輸過程中的傳輸服務安全系數較低,網絡較為脆弱,成為影響計算機信息網絡安全的重要的因素。
2.2計算機網絡操作者的不當使用
操作者是計算機網絡使用的關鍵人物,只有正確的操作,計算機網絡的功能和作用才能被最大程度的發揮,操作者因個體不同往往會有不同的操作習慣,但不熟練、不正確的操作習慣會導致安全隱患的出現,甚至有些操作者沒有安全意識或者安全意識不強,在使用網絡的過程中會泄漏用戶安全口令或者如身份證、銀行卡等相關的其他個人信息,從而給計算機信息帶來了極大的安全隱患。
2.3計算機網絡病毒的入侵
“大數據”給人帶來方便的今天,也為計算機網絡病毒的入侵提供了便利,使計算機網絡問題更加突出。眾所周知,網絡病毒具有很強的傳播性和隱蔽性,一旦計算機網絡系統被病毒入侵,便會給用戶造成嚴重的破壞和重大的利益損失。計算機病毒主要存在于外來設備數據和網絡數據中,是計算機網絡安全中不可忽視的因素。
2.4黑客的非法攻擊
很多用戶喜歡把有價值的數據存儲于計算機網絡中,為了盜取這些有用的信息,也有些黑客懷有抱負心理,將目光投向計算機網絡系統,頻頻的對其進行攻擊,使得有用數據外泄,嚴重的影響了計算機網絡安全,甚至導致了計算機網絡系統癱瘓,使計算機不能正常工作。
3“大數據”背景下計算機信息技術在網絡安全中的應用
綜上所述,計算機網絡的發展給生活和生產帶來了極大的便利。但同時在安全方面也面臨著極大的挑戰,安全的維護并不是簡單的安裝殺毒軟件和設置防火強,它需要系統的管理和先進的技術支持,因此我們要積極的采取措施加強計算機網絡安全的管理。
3.1提升全民安全防護意識
提升安全防護意識是保證計算機網絡安全的有效途徑,相關工作人員及操作人員必須高度重視,不斷的提升自我的安全防護意識,重視網絡安全,必要時可以通過講座、培訓等形式對相關人員進行安全教育,幫助他們建立安全理念,全面做好安全工作。
3.2建立和完善安全機制與體系
安全機制是計算機網絡安全的重要保證,能在一定程度上促進計算機技術的發展。日常工作中,只有建立良好的機制,構建合理的管理技術模型,完善人才管理制度,加強相關管理技術人才的培養,為社會儲備高素質的管理人員,將網絡安全做到實處。社會和相關部門要大力推廣安全機制,并進行長期的規劃,加強網絡安全內容的培訓,在實踐中對安全機制進行不斷的改進,提高突發事件的處理能力,從制度上保證網絡安全的實施。另外,社會改進和完善安全機制的同時,還應該從法律層面出臺相關的法律法規和行之有效的規章制度,從道德方面進行正確的疏導,使社會相關人員知曉相關的底線,努力做到不跨線不越線,使網絡安全朝著有利于社會發展的方向邁進。
3.3強化計算機信息網絡防火墻安全技術
計算機網絡防火墻安全技術與計算機網絡安全有著千絲萬縷的聯系,是計算機信息安全防護中重要的防護政策,其主要措施是對網絡數據訪問過程中實施安全控制,其主要表現形式為通過強化防火墻的等級保護內部用戶和內部網絡的同時,也可以避免外部用戶采取非法手段強行進入內部計算機網絡系統,保證內部計算機信息網絡的穩定,從一定程度上確保了計算機網絡的安全。另外我們應該強化防火墻技術的預設,并利用這種功能來判斷數據在傳輸的過程中是否持續有效,保證符合要求的合法用戶的數據持續傳輸,阻斷未經許可的非法用戶的數據傳輸,并通過這種技術阻礙危險插件的安裝和過慮危險信息,阻擾非法操作,必要時還可以通過與其他網絡安全產品相結合的方式,努力給內部用戶創造安全的網絡運行環境[2]。
3.4加強計算機信息網絡系統的監控和監測
隨著網絡病毒種類的增多,計算機網絡安全受到越來越大的威脅,最近幾年,技術人員開發了計算機網絡入侵檢測技術并被廣泛的應用,這種技術能夠很好的檢測網絡使用過程中非法運用或操作,有效的控制非法侵入的情形。按照分析方法的不同,可以分為簽名分析法和統計分析法,簽名分析法是利用業內已經掌握的計算機網絡的空缺對攻擊行為進行檢測的分析方法,統計分析法則是利用統計學的相關理論及其遠離,針對計算機網絡系統的行為模式展開檢測或者判定,將破壞計算機網絡安全的因素扼殺在萌芽中,利用相關的檢測技術最大限度的為計算機網絡安全提供最為基礎的保護。
4結語
總之,“大數據”發展是社會發展的必然趨勢,目前還處于發展的初級階段,以后的發展道路上必須重視網絡安全。“大數據”時代的到來,使越來越多的資源得以共享,也使越來越多的有利數據被不法分子所掌控和利用,在給人類和社會帶來利益和方便的同時,也給人類帶來了難以想象的危險和災難,因此加強網絡信息安全管理非常有必要且意義非凡。計算機網絡安全是一個復雜的長期的過程,涵蓋計算機信息技術的方方面面,既有管理方面的問題也有技術的缺陷,因此我們從管理模式入手,提高管理人員的綜合素質和責任感,提高技術水平,以此解決“大數據”背景下網絡環境的安全問題,為網絡安全打好基礎。
作者:葛海霞 單位:深州市文化廣電新聞出版局
篇11
一、計算機網絡安全中存在的問題
1.1沒有進行授權訪問
沒有進行授權訪問具體指的就是擁有熟練編寫、調試計算機程序的能力,但是卻使用這些能力來獲取非法的,或者是沒有進行授權的網絡,或者是文件進行訪問,侵入到他方內部網的行為[2]。
網絡入侵的目的主要是為了取得使用系統的存儲權限、寫權限,以及訪問其他存儲內容的權限等,也有可能是將這一網絡入侵當做是進入其他系統的跳板,或者是惡意的破壞這個系統,從而使電腦喪失了服務能力。
1.2后門和木馬程序
從最早的計算機入侵開始,黑客們就已經發展了一門走后門的技術,黑客們可以利用這門技術進入系統當中,后門的主要功能有:管理員是沒有辦法阻止種植者第二次在進入系統內部;而當種植者進入到系統內部的時候是不容易被發現的;這個“后門”的開設使得種植者可以快速的進入系統內部[3]。
特洛伊木馬簡稱木馬,是屬于一種特殊的后門程序,木馬是一般有兩個程序,一個是服務器程序,一個是控制器程序。當一臺電腦被安裝了木馬服務器程序的時候,這個黑客就可以利用木馬控制器程序進入這臺電腦,并且通過命令服務器程序,從而達到控制其他電腦的目的。
1.3計算機病毒
計算機病毒指的就是編制,或者是插入一些破壞計算機功能和數據到計算機程序當中,從而嚴重影響到計算機使用功能,以及能夠自我復制一組計算機指令,或者是程序代碼。例如:蠕蟲病毒,指的就是以計算機為載體,從而利用操作系統,以及應用程序的漏洞主動攻擊,屬于一種利用網絡傳播的惡性病毒。計算機病毒與其他一些病毒是一樣的都是具有:傳播性、隱蔽性、破壞性、潛伏性等,同時也具有其他病毒沒有的特性例如:只存在于內存中,給網絡帶來的危害是網絡不在進行服務,或者是與黑客技術相結合等。其他常見的破壞性病毒有宏病毒、意大利香腸等[4]。
二、計算機網絡安全管理的技術研究
2.1物理隔離網閘
使用多種控制功能的固態開關讀寫介質,并且連接兩個獨立主機系統的信息安全設備就是物理隔離網閘。從物理隔離網閘連接的兩個獨立主機系統中可以知道,通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議等的都是不存在的,當然也不存在依據協議的信息包轉發。有的只是對數據文件的無協議“擺渡”,并且對于固態存儲介質的命令只有“讀”和“寫”。這就意味著,物理隔離網閘從將具有潛在攻擊的一切連接進行物理上的隔離、阻斷,從而使得“黑客”是無法入侵、無法攻擊、無法破壞的,從而實現了真正的安全。
2.2防火墻技術
防火墻指的就是計算機與防火墻所連接的網絡之間的軟件。這個計算機流入流出的所有網絡通信都要經過這個防火墻。防火墻對通過它網絡通信進行掃描,這樣就可以將所用的攻擊過濾掉,從而最大化的避免防火墻在目標計算機上被執行。防火墻能夠關閉不使用端口,并且它還能禁止通信從特定的端口流出,從而封鎖了特洛伊木馬的入侵。防火墻還可以阻止來自特殊站點的訪問,對于來自不明入侵者的所有通信進行阻止,從而最大化的保護了網絡的安全性。
2.3加密技術
加密技術指的就是加密主要就是一把系統安全鑰匙,是實現網絡安全的一個重要手段,這就說明了只要使用正確的加密技術,從而可以使得信息安全的以確保。數據加密的基本過程指的就是在原有的明文文件,或者是按照某種算法進行處理,從而使得其成為一種不能讀的代碼,也就是人們通常所說的“密文”,只有輸入相對應的密鑰之后才能將密文轉變成為明文,從而最大化的保護了數據不被別人竊取。
三、結束語
總而言之,要解決互聯網安全方面的問題,還要做很多的工作,僅僅依靠技術,或者是單方面的措施是很難解決問題的,這就意味著必須多方面的進行配合,從而使得網絡更加的可靠。
參 考 文 獻
[1]唐壘,馮浩,封宇華. 計算機網絡管理及相關安全技術分析[J]. 電子世界,2012,No.39505:136-137+139.
篇12
近幾年來,計算機網絡技術飛速發展,社會也逐漸進入了信息化時代,網絡已經逐漸成為了人們生活中所不可或缺的部分。雖然網絡系統給人們的生活方式帶來了很多方便,但是在其被廣泛應用的同時,網絡安全也遭受到了前所未有的威脅,一些危險網絡安全的計算機病毒也開始在網上橫行。為了能夠從根本上避免這些病毒對計算機網絡安全帶來影響,加強對網絡安全的隨機模型方法與評價技術的研究是必不可少的。
1 網絡安全的研究工作概述
隨著互聯網技術在我國社會領域應用的日趨廣泛,網絡安全所面臨的挑戰也越來越大,傳統網絡防護體系中呈現出來的問題也越來越多。因此,對網絡安全進行研究已經成為了相關部門所面臨的一項重要工作。就我國近幾年網絡安全研究工作的情況來看,其發展主要經歷了三個階段。在第一個階段,研究人員將研究重點放在了構建絕對安全的網絡系統上,普遍認為網絡系統出現不安全的現象都是由于系統中存在漏洞而導致的,防止網絡系統被惡意侵犯的主要方法就是對系統細節和復雜協議進行不斷改進。在第二個階段,研究人員逐漸意識到,在網絡系統運行過程中,有一部分惡意入侵是難以阻止的,因此,逐漸將注意力轉移到了研究如何及時檢測入侵發生的問題上,然而,隨著網絡入侵行為的不斷加劇,保證網絡安全性也面臨著巨大的挑戰,不僅不能夠有效避免,而且還很難對其進行檢測和察覺。在第三個階段,研究人員在確定網絡入侵行為不可避免之后,便將研究的重點放在了如何使網絡在受到攻擊之后仍能恢復繼續實現預定功能,與此同時,如何基于可信性構建支持安全服務的網絡也是國內外目前網絡安全的研究的主要熱點。
2 利用隨機模型方法來研究網絡的安全性
雖然利用隨機模型方法來對網絡的安全性進行研究還存在新的挑戰和問題,但是隨著隨機模型分析方法應用越來越廣泛,在未來的時間里,這也將成為一個重要的研究方向。一般來說,利用隨機模型方法對網絡的安全性進行研究,主要包括以下幾個方面的內容:
2.1 定義安全性評價指標
由于網絡系統運行過程中涉及到的內容較多,如果研究人員想要充分實現對各個部分的科學評價,那么就必須對各個部分設置相應的安全性指標,并以此為根據建立一個可量化和可操作的安全性評價指標,這不僅是網絡系統安全性評價的前提和基礎,而且還是確保安全性評價科學、準確的重要依據。
2.2 構建網絡安全性的系統分析方法
由于網絡系統本身具有獨立性和特定性,因此,在構建網絡安全性系統的時候也需要確保其系統性和針對性。就目前研究人員對網絡安全性系統的使用情況來看,雖然能夠成功對某些網絡安全的重要特征進行分析,但是仍沒有形成一個較為完整的系統分析方法。由此可見,在未來的時間里,建立一套行之有效的網絡安全評價框架已經成為了研究人員所面臨的一項重要工作。
2.3 從實際問題中抽象并建立攻擊模型
隨著我國計算機技術的不斷發展,網絡攻擊技術和工具也越來越先進,給網絡系統的安全帶來的很大的威脅。研究結果表明,目前網絡攻擊技術不僅具有隨機性和多樣性,而且還具有一定程度的隱蔽性和傳播性,這種現象給攻擊模型的建立造成了很大的困難,比如說人們很難掌握攻擊者發起攻擊行為的根本意圖,從而無法采取相應的措施對其進行防范。同時,網絡結構自身的復雜性也使得網絡安全性分析異常困難,因此,研究人員要從實際問題中抽象并建立攻擊模型。
2.4 探索網絡安全的隨機模型分析和求解方法
構成網絡安全的模型分析方法主要包括組合模型方法、模型檢測、基于狀態的隨機模型方法以及基于模型的高級隨機模型方法等,每一種方法都尤其固定的分析和求解方法,雖然能夠在一定程度上確保網絡安全,但是在實際使用的過程中卻仍然存在一些有待解決的問題,比如說部分隨機模型求解有一定的困難,甚至還會出現狀態空間爆炸的現象。因此,在未來的時間里,探索網絡安全的隨機模型分析和求解方法也是不容忽視的。
3 網絡安全性評價模型
3.1 網絡安全問題的定義和分類
在對網絡安全性評價模型進行研究的時候,研究人員首先要做的就是根據評價的目標和方法來對網絡系統安全問題進行定義與分類。大多數人都認為,網絡安全問題主要指的是網絡系統在運行過程中所面臨的攻擊者對其實施的破壞行為,但是,這并不是網絡安全問題的所有層面。所謂網絡安全問題,主要指的是系統自身存在脆弱性,也就是說系統漏洞,當這些系統漏洞被觸發之后,系統自身的安全性就會降低,從而引起的系統安全失效事件。而關于網絡安全問題的分類則主要可以分為安全漏洞和安全破壞兩種,其中,安全漏洞相對來說是較容易評價的,但是,對有意圖的攻擊和破壞的安全性模型則是比較難進行合理分析的。
3.2 網絡安全性的評價模型分類
從研究人員目前對網絡安全性評價模型的研究結果來看,其分類主要包括四種類型,即不同安全評價指標的模型、攻擊者行為模型、物理模型和行為模型。其中,不同安全評價指標的模型主要是指根據不同的評價指標,將實際網絡系統進行抽象,從而建立相應的可分析模型;攻擊者行為模型主要是根據網絡系統的不同機制建立起來的隨機模型,這些模型具有很強的針對性,能夠對行為細節進行有效分析;物理模型是根據評價的根本目的,對系統進行抽象的不同層次建立的評價模型;而行為模型則是在明確攻擊行為細節的基礎上建立起來的評價模型。無論是哪一種模型,對于網絡安全性的評價都有不可或缺的作用。
3.3 一種可行的網絡安全性評價的模型框架
根據對網絡安全問題的定義和分類以及網絡安全性的評價模型分類的介紹,研究人員建立了一種可行的網絡安全性評價的模型框架,如圖1所示:
圖1 可行的網絡安全性評價的模型框架
如圖所示,該模型框架主要可以分為系統行為模型、攻擊者模型以及系統脆弱性模型幾個子模型,此外,根據網絡安全的實際情況,在該模型框架中,還可以進一步建立容侵機制子模型和系統負載子模型,從而更好的促進該網絡安全性評價的模型框架的可行性,確保網絡系統的安全。
4 結語
綜上所述,隨著我國計算機技術的不斷發展及廣泛應用,網絡安全的隨機模型方法研究也得到了相關部門的高度重視。為了能夠從根本上消除計算機病毒等因素給網絡安全所造成的影響,相關工作人員必須要在充分了解計算機網絡運行環境的基礎上,采取科學合理的隨機模型方法與評價技術,從而實現從根本上對網絡進行保護,使其作用能夠更好的發揮出來。
參考文獻:
[1]林闖,,李泉林.網絡安全的隨機模型方法與評價技術[J].計算機學報,2005(12).
[2]李振國.淺議計算機網絡安全[J].數字技術與應用,2011(08).
篇13
網絡技術的普及和發展、信息的共享和應用給人們的工作和生活帶來深遠的影響。在帶來巨大便利的同時,網絡安全問題也日益突出而且越來越復雜。據《半月談》社情民意調查中心2012年5月通過半月談網進行的一項3046人參與的在線調查發現,有七成網民曾遭遇過個人信息泄露。其中,有30%的網民表示曾多次遭遇此類情況。網絡的安全和可靠性逐漸成為人們共同關注的焦點,計算機網絡必須采取更加安全的措施,才能夠把計算機網絡安全做到實處。身份認證是指計算機及網絡系統確認操作者身份是否合法的過程,計算機身份認證技術是保護網絡信息安全的第一道防線,是最基本的安全服務。本文從介紹身份認證在計算機網絡安全保護中的重要地位出發,探討計算機網絡安全身份確認技術的常用方法和發展趨勢。
1 身份認證在計算機網絡安全保護中的重要地位
身份認證技術在信息安全中占有非常重要的地位,是網絡安全中最直接、最前沿的一道防線,是鑒別合法用戶與非法用戶,允許并監督經過授權的操作同時防止非法操作,防止黑客入侵和計算機病毒破壞的重要手段。用戶在登陸網絡安全系統之前,首先必須向身份認證系統表明自己的身份,經過身份認證系統識別確認身份后,根據用戶身份、權限級別決定能否訪問某個資源或者進行某項操作。同時檢測系統,包括審計和報警系統等,記錄用戶的請求和行為,并檢查檢測安全系統是否存在入侵行為。可見,身份認證是最基本的安全服務,其它安全服務都要依賴于其所提供的登陸用戶的信息。而正是由于身份確認系統的特殊作用和
重要地位,黑客攻擊的首要目標也是身份確認系統,一旦身份確認系統被黑客或者病毒攻破,[2]其它安全措施將形同虛設。也正是由于身份確認的重要性,其技術的發展越來越受到人們的重視,近年來也得到快速發展。根據層次和先后出現的順序,包括一般常用的靜態口令、一次性口令、數字證書和生物特征技術等等。
2 身份確認的常用方法
身份認證的基本方式就是由被認證方提供登陸用戶獨有的具有保密性難以偽造的信息來表明自己的合法身份和權限。身份確認常用的方法有,數字證書、智能卡、靜態口令、動態口令、生物特征等,本文主要從生物特征和非生物特征兩個角度進行歸類分析:
2.1 生物身份認證技術
生物特征是指人體本身固有的生物物理特征和行為特征,常見的生物特征主要有指紋、掌紋、虹膜、視網膜、語音、步態、簽名等。生物特征認證是指根據每個人獨一無二的生物特征來驗證識別用戶身份的技術。從理論上來講,基于生物唯一生物特征的認證方式具有唯一性、可靠性、穩定性的特點,是最可靠的身份認證方式,幾乎不可能被仿冒。生物特征認證的運行模式一般是,系統通過抓圖和特征抽取,采用計算機強大的計算功能和圖像處理功能,將捕捉到的生物特征樣品的唯一特征轉化成數字的符號,存入用戶個人的特征模版,[3]在用戶重新登錄網絡安全系統時,通過比較和匹配確定用戶的身份是否合法以及權限。
生物身份認證技術雖然具有唯一性、可靠性和穩定性的特點,但是由于生物認證技術相對復雜,需要昂貴、特殊的硬件設施等條件,特別是視網膜等先進的認證技術現在使用還不普遍,只能用在比較少的需要高度級別安全的環境中。這種適用范圍的有限性也就決定了其人機和諧的有限性,復雜的操作還不成熟。同時,生物特征也是絕對靜止和相對運動的結合體,同一的生物特征在不同條件下可能隨著條件的變化而變化,比如簽字和語音等,沒有兩個簽字是完全相同的,語音也容易受到當時身體條件的影響。生物身份認證技術的普及推廣和人機友好方面仍需要進一步的完善。
2.2 非生物認證技術
2.2.1 基于口令的認證方式
傳統的身份認證技術主要采用的就是口令的認證方法。這種認證方法簡單、可操作性強,首先要求請求認證者必須要有一個用戶賬號ID,而且該賬號在認證者的用戶數據庫里是唯一的。系統保存的用戶的二元信息組(ID,PW),進入系統時,由請求認證者輸入ID和PW,系統根據保存的用戶賬號信息和個人信息,來缺人用戶身份是否合法。這種認證技術的優點在于系統適用性強、簡單可操作性強,口令認證方法最關鍵的是保證口令使用和儲存時的安全性。但是由于很多用戶習慣選擇姓名、生日、電話號碼、門牌號等容易被猜測破解的口令,使得這種技術存在很大的不穩定性,很容易受到黑客或者惡意用戶、計算機病毒的攻擊。
基于口令的認證方式主要有兩種:一種是靜態口令,是指經過用戶設定、系統保存后,在某一特定的時間段內沒有變化、可以反復使用的口令。這種口令是靜態的、不變的,容易記憶但也容易泄密,一般用于不太重要的場合或者保密性質不高的環境中。另一種是動態口令,是指用戶每次進入網絡安全系統,認證時輸入的口令都是變化的,不會重復,一次一變,即使這次輸入的口令被他人知曉,下次輸入時此口令即無法再次使用。動態口令是用戶身份數字化的一種憑證,是安全系統識別用戶身份是否合法以及權限的依據。
2.2.2 基于物理證件的認證方式
顧名思義,基于物理證件的認證方式是一種利用用戶擁有的某種東西進行認證的方式,現階段,主要的物理認證方式有智能卡、數字證書(電子文檔)等。持證認證方式作為一種實物的認證方式,其作用類似于鑰匙,用于啟動電子設備。智能卡是一個帶有集成電路芯片的具有標準規格的卡片,攜帶有微處理器和存儲器。智能卡的認證技術是指利用卡片存儲的用戶的信息特征進行身份識別。數字證書是基于PKI(public key infrastructure)技術的權威性的電子文檔,提供作用類似于身份證的在網絡上驗證身份的方式。
持證認證方式基于物理證件的安全屬性,不易偽造和不能直接讀取數據的特點,即使物理證件丟失,沒有用戶口令也不能訪問用戶系統。當然,物理證件僅僅是為身份認證提供了一個硬件基礎,安全性方面仍然存在不足,要想得到安全的認證,應該運用硬件保護措施和加密算法,并且與安全協議配套使用。
3 身份認證的發展趨勢
隨著網絡安全技術的發展,網絡身份認證技術也朝著更高安全性、更高速度、更高穩定性、更高易用性和實用性以及認證終端小型化等方向進一步發展。通過上述介紹可以知道,各種身份認證技術都有不足之處,在實際的應用中,應該從用戶實際需求和認證方式的安全性能兩個方面來綜合考慮,能滿足用戶需求的才是最好的,而這不一定和安全性能成正比。未來身份認證技術應該從解決怎么樣減少身份認證機制的計算量和通信量,節省計算和設備成本同事又能高效率的提供較高的安全性能出發,綜合運用生物認證技術,提高硬件水平和改進識別方法已提高正確率,運用多因素認證方法,改變單一因素認證的弊端,運用屬性認證技術,把屬性證書的授權方案和認證技術相結合,解決分布式網絡環境中身份認證與權限分配問題。
4 結束語
計算機網絡安全問題現實存在并將在今后較長的一段時間內存在,如何堵塞網絡安全漏洞,保護用戶信息安全是一個不斷深化、不斷取得新成績的課題。相信隨著計算機技術的快速發展和計算機身份認證技術的不斷成熟,未來會出現更多、更安全、效能更高的身份認證技術,計算機安全和用戶信息的安全會得到更加周密的保障。
參考文獻:
[1]劉建良.淺談網絡安全與身份認證技術的研究分析[J].數字技術與應用,2012(11):45-47.
