防火墙技术论文范文

时间:2023-03-30 11:02:39

导语:如何才能写好一篇防火墙技术论文,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

防火墙技术论文

篇1

关键词:网络安全;防火墙

1从软、硬件形式上分

如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

(1)软件防火墙。

软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。

(2)硬件防火墙。

这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS(操作系统)本身的安全性影响。

(3)芯片级防火墙。

芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。

2从防火墙技术

防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公司的Gauntlet防火墙为代表。

(1)包过滤(Packetfiltering)型。

包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。

在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态包过滤”和“第二代动态包过滤”。

包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。

(2)应用(ApplicationProxy)型。

应用型防火墙是工作在OSI的最高层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。其典型网络结构如图所示。

在型防火墙技术的发展过程中,它也经历了两个不同的版本:第一代应用网关型防火和第二代自适应防火墙。

类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。

另外型防火墙采取是一种机制,它可以为每一种应用服务建立一个专门的,所以内外部网络之间的通信不是直接的,而都需先经过服务器审核,通过后再由服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。

防火墙的最大缺点是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务,在自己的程序为内、外部网络用户建立连接时需要时间,所以给系统性能带来了一些负面影响,但通常不会很明显。

3从防火墙结构分

从防火墙结构上分,防火墙主要有:单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

单一主机防火墙是最为传统的防火墙,独立于其它网络设备,它位于网络边界。

这种防火墙其实与一台计算机结构差不多(如下图),同样包括CPU、内存、硬盘等基本组件,主板更是不能少的,且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡,因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序,如包过滤程序和服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC机一样,因为它的工作性质,决定了它要具备非常高的稳定性、实用性,具备非常高的系统吞吐性能。正因如此,看似与PC机差不多的配置,价格甚远。

随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软、硬件组成的系统,这种防火墙,俗称“分布式防火墙”。

原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业网络投资,现在许多中、高档路由器中集成了防火墙功能。如CiscoIOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。

分布式防火墙再也不只是位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的,都需要严格过滤。而不是传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。

4按防火墙的应用部署位置分

按防火墙的应用部署位置分,可以分为边界防火墙、个人防火墙和混合防火墙三大类。

边界防火墙是最为传统的,它们于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络。这类防火墙一般都属于硬件类型,价格较贵,性能较好。

个人防火墙安装于单台主机中,防护的也只是单台主机。这类防火墙应用于广大的个人用户,通常为软件防火墙,价格最便宜,性能也最差。

混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”,它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一,性能最好,价格也最贵。

5按防火墙性能分

按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。

因为防火墙通常位于网络边界,所以不可能只是十兆级的。这主要是指防火的通道带宽(Bandwidth),或者说是吞吐率。当然通道带宽越宽,性能越高,这样的防火墙因包过滤或应用所产生的延时也越小,对整个网络通信性能的影响也就越小。

虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。

参考文献

[1]孙建华等.网络系统管理-Linux实训篇[M].北京:人民邮电出版社,2003,(10).

篇2

关键词:外墙保温;安全措施;现场管理

中图分类号:TU97文献标识码: A 文章编号:

1.外墙保温材料的应用

目前广泛应用的外墙外保温技术体系主要有膨胀聚苯乙烯泡沫(EPS)板薄抹灰外保温系统、挤塑聚苯乙烯泡沫(XPS)板薄抹灰外保温系统、聚氨酯泡沫(PU)薄抹灰外保温系统、胶粉 EPS颗粒保温浆料外保温系统、现浇混凝土复合无网EPS板外保温系统等,其中,EPS板薄抹灰外墙外保温系统为全国普遍推广使用的技术,几乎占节能建筑的90%以上。

PU是目前世界上公认的最佳保温绝热材料,导热系数仅为0.018~0.023W/m。k,25mm厚的PU的保温效果相当于40mm厚的 EPS、45mm厚的岩棉、380mm厚的混凝土或860mm厚的普通砖。主要指标对比如下。

保温效果:PU最好,EPS次之,岩棉最差。

耐冷热性能:岩棉最好,PU次之,EPS最差。

吸水率(性):PU最低,EPS次之,岩棉最易吸水。

使用寿命:岩棉最长,PU次之,苯板最差。

价格:PU最高,岩棉次之,EPS最低。

事实上,EPS、XPS、PU都属于有机保温材料,最大优点是质量轻保温和隔热性好,最大缺陷是防火安全性差,易老化易燃烧,在燃烧时产生大量烟雾,毒性很大,这些产品的承重性使用年限 防火性都不如无机保温材料。

2.聚苯板外墙保温材料的火灾危险性

聚苯板薄抹灰系统在国内的外墙外保温中应用相当普遍,其危险性在于:(1)一旦火灾发生,有机保温板燃烧产生的有毒气体和火焰会给逃生者带来巨大危险;(2)因聚苯板受热产生的热熔缩变形以及网格布过热折断而导致瓷砖坠落,对逃生人员和救助人员造成的伤害也是致命的;(3)当墙体保温材料表面砂浆龟裂脱落后,也很快会引燃保温材料,火灾迅速向大范围蔓延;(4)外墙着火之后,由于室内的自动消防设施不能覆盖外墙,特别是当高层建筑外墙外保温材料着火后,更是无计可施。

3.国内外外墙保温系统防火技术现状

a)国外外墙保温防火技术现状:欧美等发达国家对外墙保温系统均有严格的防火安全等级要求,不同的外墙保温系统和保温材料设有防火测试方法和分级标准(考虑燃烧时烟气及毒性释放),并对不同防火等级的外墙保温系统的使用范围有严格规定如欧洲标准 E-TAG004《有抹面层的外墙外保温复合系统欧洲技术标准认证》中规定,对保温防火性的测试方法要按照 CEN分级文件EN13501-1《建筑产品或组件的燃烧性能分级》进行阻燃等级A1—E的测试防火等级的测定和相关的测试需进行两次:一次为整个体系,另一次仅为保温材料同时,对外墙外保温的防火要求将依据法律法规和适用于建筑物最终使用的管理条例而定,德国有因聚苯板薄抹灰系统防火安全性达不到要求而不能在22m以上建筑物使用的相关规定;英国有18m以上建筑物不允许使用聚苯板薄抹灰外墙外保温系统的规定;美国纽约州建筑指令中明确规定耐火极限低于2h的聚苯板薄抹灰外墙外保温系统不允许用在高于22.86m的住宅建筑中,而由岩棉等不燃材料组成的外墙保温系统则可广泛应用在各种类型的建筑中,该系统已经成为目前世界上应用范围最广的外墙保温做法之一。

b)国内外墙保温防火技术现状:聚苯板薄抹灰系统因其防火性能较差,发达国家对其使用范围有严格的限制,而国内高层超高层建筑采用聚苯板薄抹灰网格布粘贴面砖的外墙外保温做法相当普遍,主要原因是国内没有标准对此作出限制规定,如我国现有的 GB50016- 2006《建筑设计防火规范》和 GB50045-95《高层民用建筑设计防火规范》(2005年版)只规定了建筑构件的燃烧性能和耐火极限,附录 A(各类建筑构件燃烧性能和耐火极限)对外墙的规定均为不燃烧体,但是其中却没规定外墙保温材料的燃烧性能在JGJ144-2004《外墙保温工程技术规程》的表 4.0.11外墙外保温系统组成材料性能要求中,对胶粉EPS颗粒保温浆料的燃烧性能级别标注为B1(难燃性),但对EPS 板的燃烧性能级别标注却为“—”即没有规定。

外墙保温材料的防火已引起国家的重视,公安部消防局会同住房和城乡建设部标准定额司正在共同组织起草《建筑外保温材料防火措施》,在征求意见稿中提出了外墙保温材料燃烧性能要求:“(1)建筑体积大于10万立方米或建筑高度大于32米的公共建筑和建筑高度大于100米的居住建筑应采用岩棉矿棉玻璃棉等无机材料制作的保温材料;(2)建筑体积大于10万立方米或建筑高度大于32米的公共建筑和建筑高度大于100米的居住建筑外,其他建筑可采用可燃材料做外墙保温,但应采取相应的防火构造;(3)建筑外装修材料应采用不燃材料。”。

4.外墙保温材料防火安全措施

4.1提高外墙保温材料的防火性能,设置相应的防火构造物

a)对于新建建筑:(1)建议在修订的标准中, 对外墙保温材料燃烧性能等级的规定,应能满足外保温系统具有阻止火焰传播的能力;(2)建议在法律法规中明确规定推广使用不燃材料组成的外墙保温系统;(3)消防部门应加强对外墙保温材料防火性能等级的监管和测试;(4)对于使用聚苯板薄抹灰外保温系统,应增设防火隔离带、挡火梁等防火构造物。

b)对于已采用可燃材料做保温层的建筑:(1)保温层应采用不燃烧材料做水平和竖向分隔;(2)建筑外墙转角两侧和门洞窗口等开口周围应采用不燃烧材料进行分隔;(3)建筑外表层应采用不燃材料将保温层完全覆盖,可采用水泥砂浆涂抹;(4)当建筑外墙采用幕墙时,幕墙与每层楼板隔墙处的缝隙应采用防火材料封堵。

4.2单位加强消防安全管理,消防部门加强监管

单位要加强消防安全管理,认真开展消防安全自查自纠,针对自查中发现的用火用电不规范 胡乱堆放杂物等问题,必须立即排除;单位要认真落实安全生产的相关制度,落实防火制度和责任人,制定应急机制,规范用火用电,正确设置安全出口指向标志等;单位要加强对员工的消防安全培训,特别是特殊工种,必须保证员工持证上岗,确保用火用电安全,预防火灾事故的发生。

消防部门应加强监管,定期深入各单位进行监督检查,对存在的问题及时指出,要求单位落实整改对拒绝整改或整改不到位的单位,消防部门将依法给予处罚。监管的内容包括施工现场、施工工人的生活区、明火作业区和外墙保温材料、木料等易燃物品堆放区的消防设施的配备及监管情况,临时用电设施的防火、防水、防触电装置,外脚手架搭设和安全网的防火情况等。

4.3严格建设工程施工现场管理

强化施工现场管理应根据现有的消防条例和保温工程施工消防安全管理规定并结合实际情况制定出消防安全管理制度, 并认真贯彻执行:(1)保温板材进场后,不宜露天存放,应远离火源露天存放时,保温板材应采取可靠的防护措施。

(2)保温板材应在电焊等工序结束后进行铺设确需在保温板材铺设后进行电焊等工序的,将电焊部位周围应采用防火毯进行防火保护,或在可燃保温材料上涂刷水泥砂浆等不燃保护层进行保护;(3)不得直接在保温板材上进行防水材料的热熔热粘结法施工;(4)配足灭火器消防水泵消防水池等消防设施。

5.结束语

近年来由于外墙保温引起或加速火势蔓延的事故频发,国家有关部门对此类事故的重视上升到了一个新的高度。目前,作为施工单位要做的就是在现场施工阶段的防控工作。通过大量的工程实践,笔者认为对于外墙保温工程的施工阶段只要用科学严谨的态度进行管理,火灾事故是可以避免的。随着外墙保温安全和技术规程标准的完善,建筑节能事业必将健康有序地发展。

【参考文献】

篇3

关键词:电子商务,信息安全,防火墙,权限控制

 

0 引言

近年来,随着信息技术的发展,各行各业都利用计算机网络和通讯技术开展业务工作。广西百色田阳县农产品批发中心利用现代信息技术建有专门的网站,通过网站实施农产品信息、电子支付等商务工作。但是基于互联网的电了商务的安全问题日益突出,并且该问题已经严重制约了农产品电子商务的进一步发展。

1 农产品电子商务的安全需求

根据电子商务系统的安全性要求,田阳农产品电子商务系统需要满足系统的实体安全、运行安全和信息安全三方面的要求。

1) 系统实体安全

系统实体安全是指保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施和过程。

2) 系统运行安全系统运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急)来保护信息处理过程的安全。项目组在实施项目前已对系统进行了静态的风险分析,防止计算机受到病毒攻击,阻止黑客侵入破坏系统获取非法信息,因此系统备份是必不可少的(如采用放置在不同地区站点的多台机器进行数据的实时备份)。为防止意外停电,系统需要配备多台备用电源,作为应急设施。

3) 信息安全

系统信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或信息被非法的系统标识、控制。系统的核心服务是交易服务,因此保证此类安全最为迫切。系统需要满足保密性,即保护客户的私人信息,不被非法窃取。同时系统要具有认证性和完整性,即确保客户身份的合法性,保证预约信息的真实性和完整性,系统要实现基于角色的安全访问控制、保证系统、数据和服务由合法的客户、人员访问,即保证系统的可控性。在这基础上要实现系统的不可否认性,要有效防止通信或交易双方对已进行的业务的否认。

2 农产品电子商和安全策略

为了满足电子商务的安全要求,电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务,具体可采用的技术如下:

2.1基于多重防范的网络安全策略

1) 防火墙技术

防火墙是由软件系统和硬件系统组成的,在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障,并在此进行检查和连接,只有被授权的信息才能通过此保护屏障,从而使内部网与外部网形成一定的隔离,防止非法入侵、非法盗用系统资源,执行安全管制机制,记录可疑事件等。

防火墙具有很好的保护作用。论文大全,信息安全。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。

边界防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。论文大全,信息安全。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。论文大全,信息安全。

2) VPN 技术

VPN 技术也是一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其分支机构就可以相互之间安全的传递信息。同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以进入企业网中。使用VPN 技术可以节省成本、扩展性强、提供远程访问、便于管理和实现全面控制,是当前和今后企业网络发展的趋势。

VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可*的认证机制。

性能

VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”,低优先级的应用。

管理问题

由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备。论文大全,信息安全。

2.2基于角色访问的权限控制策略

农产品电子商务系统信息系统含有大量的数据对象,与这些对象有关的用户数量也非常多,所以用户权限管理工作非常重要。

目前权根控制方法很多,我们采用基于RBAC演变的权限制制思路。在RBAC之中,包含用户、角色、目标、操作、许可权五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。角色访问控制策略主要是两方面的工作:

(1)确定角色

根据系统作业流程的任务,并结合实际的操作岗位划分角色。角色分为高级别角色和代级别角色,低级别角色可以为高级别角色的子角色,高级别角色完全继承其子角色的权限。

(2)分配权限策略

根据系统的实际功能结构对系统功能进行编码,系统管理员可以创建、删除角色所具有的权限,以及为角色增加、删除用户。需要注意的是角色被指派给用户后,此时角色不发生冲突,对该角色的权限不能轻易进行修改,以免造成由于修改角色权限从而造成角色发生冲突。论文大全,信息安全。论文大全,信息安全。对用户的权限控制通过功能菜单权限控制或者激活权限控制来具体实现。用户登陆系统时,系统会根据用户的角色的并集,从而得到用户的权限,由权限得到菜单项对该用户的可视属性是true/false,从而得到用户菜单。

2.3基于数据加密的数据安全策略

在农产品商务系统中,数据库系统作为计算机信息系统核心部件,数据库文件作为信息的聚集体,其安全性将是重中之重。

1)数据库加密系统措施

(1)在用户进入系统进行两级安全控制

这种控制可以采用多种方式,包括设置数据库用户名和口令,或者利用IC卡读写器或者指纹识别器进行用户身份认证。

2)防止非法复制

对于服务器来说,可以采用软指纹技术防止非法复制,当然,权限控制、备份/复制和审计控制也是实行的一样。

3)安全的数据抽取方式

提供两种卸出和装入数据库中的加密数据的方式:其一是用密文式卸出,这种卸出方式不解密,卸出的数据还是密文,在这种模式下,可直接使用dbms提供的卸出、装入工具;其二是用明文方式卸出,这种卸出方式需要解密,卸出的数据明文,在这种模式下,可利用系统专用工具先进行数据转换,再使用dbms提供的卸出、装入工具完成。

3结束语

随着信息化技术的快速发展,农产品电子商务创新必须适应新的变化,必须充分考虑信息安全因素与利用信息安全技术,这样才能实现农产品电子商务业务快速增长,本文所述的安全策略,对当前实施电子商务有一定效果的,是值得推介应用的。

参考文献:

[1]卢华玲.电子商务安全技术研究[J].重庆工学院学报(自然科学版),2007,(12):71-73.

[2]唐文龙.基于角色访问控制在农产品电子商务系统中的应用[j]. 大众科技.34-35

[3]张立克.电子商务及其安全保障技术[J].水利电力机械,2007,29(2):69-74.

篇4

1 传统防火墙的不足

传统防火墙是现代网络安全防范的主要支柱,但在安全要求较高的大型网络中存在一些不足,主要表现如下:

(1) 结构性限制。传统防火墙的工作原理依赖于网络的物理拓扑结构,如今,越来越多的跨地区企业利用Internet来架构自己的网络,致使企业内部网络已基本上成为一个逻辑概念,因此,用传统的方式来区别内外网络十分困难。

(2) 防外不防内。虽然有些传统防火墙可以防止内部用户的恶意破坏,但在大多数情况下,用户使用和配置防火墙主要还是防止来自外部网络的入侵。

(3) 效率问题。传统防火墙把检查机制集中在网络边界处的单一接点上,因此,防火墙容易形成网络的瓶颈。

(4) 故障问题。传统防火墙本身存在着单点故障问题。一旦处于安全节点上的防火墙出现故障或被入侵,整个内部网络将完全暴露在外部攻击者的前面。

2 分布式防火墙的概念

为了解决传统防火墙面临的问题,美国AT&T实验室研究员Steven M.Bellovin于1999年在他的论文“分布式防火墙”中首次提出了分布式防火墙的定义,其系统由以下三部分组成:

(1) 网络防火墙。网络防火墙承担着传统防火墙相同的职能,负责内外网络之间不同安全域的划分;同时,用于对内部网络中各子网之间的防护。

(2) 主机防火墙。为了扩大防火墙的应用范围,在分布式防火墙系统中设置了主机防火墙。主机防火墙驻留在主机中,并根据响应的安全策略对网络中的服务器及客户端计算机进行安全保护。

(3) 中心管理服务器。中心管理服务器是整个分布式防火墙的管理核心,主要负责安全策略的制定、分发及日志收集和分析等操作。

3 分布式防火墙的工作模式

分布式防火墙的工作模式:由中心策略服务器统一制定安全策略,然后将这些制定好的策略分发到各个相关节点。而安全策略的执行则由相关主机节点独立实施,再由各主机产生的安全日志集中保存在中心管理服务器上,其工作模式如图所示。

分布式防火墙工作模式结构

从图中可以看出,分布式防火墙不再完全依赖于网络的拓扑结构来定义不同的安全域,可信赖的内部网络发生了概念上的变化,它已经成为一个逻辑上的网络,从而打破了传统防火墙对网络拓扑的依赖。但是,各主机节点在处理数据时,必须根据中心策略服务器所分发的安全策略来决定是否允许某一节点通过防火墙。

4 分布式防火墙的构建

分布式防火墙的构建主要有如下四个步骤:

(1) 策略的制定和分发。在分布式防火墙系统中,策略是针对主机制定的。在制定策略之后通过策略管理中心“推送”和主机“索取”两种机制分发到主机。

(2) 日志的收集。在分布式防火墙中,日志可以通过管理中心“定期采集”、主机“定期传送”、主机“定量传送”由主机传送到管理中心。

(3) 策略实施。策略在管理中心统一制定,通过分发机制传送到终端的主机防火墙,主机防火墙根据策略的配置在受保护主机上进行策略的实施。主机防火墙策略实施的有效性是分布式防火墙系统运行的基础。

(4) 认证。在分布式防火墙系统中通常采用基于主机的认证方式,即根据IP地址进行认证。为了避免IP地址欺骗,可以采用一些强认证方法,例如Kerberos、X.509、IP Sec等。

5 分布式防火墙的主要优势

在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。主要优势如下:

(1) 分布式防火墙增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击的防范,可以实施全方位的安全策略。

(2) 分布式防火墙消除了结构性瓶颈问题,提高了系统性能。

(3) 分布式防火墙随系统扩充提供了安全防护无限扩充的能力。

6 结论

总之,在企事业单位的计算机网络安全防护中,分布式防火墙技术不仅克服了传统边界式防火墙的不足,而且把防火墙的安全防护系统延伸到网络中的各台主机。它在整个企事业网络或服务器中,具有无限制的扩展能力。随着网络的增长,它们的处理负荷也会在网络中进一步分布,从而持续地保持高性能,最终给网络提供全面的安全防护。

参考文献

[1],李臻,彭纪奎.基于入侵检测的分布式防火墙的应用研究[J].微电子学与计算机,2011(6).

篇5

关键词:计算机,网络安全,防火墙

 

随着计算机网络的广泛应用,网络安全问题日渐突出。网络具有跨国界、无主管、不设防、开放、自由、缺少法律约束力等特性,网络的这些特性显示了它的许多优点,但同时也使它容易受到来自各方面的入侵和攻击。如果不很好地解决这个问题,必将阻碍计算机网络化发展的进程。

1 网络安全概述

网络安全从本质上来讲就是网络上的信息安全,指网络系统中流动和保存的数据,不受到偶然的或者恶意的破坏、泄露、更改,系统能连续正常的工作,网络服务不中断。从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。

2 网络安全的威胁因素

归纳起来,网络安全的威胁主要有:

(1)网络协议的局限性。 Internet的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。并且,由于TCP/IP协议是公布于众的,若人们对TCP/IP协议很熟悉,就可以利用它的安全缺陷来实施网络攻击。

(2) 人为的无意失误。如操作员安全配置不当造成的安全漏洞,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。虽然网络中设置了不少保护屏障,但由于人们的安全意识淡薄,从而使保护措施形同虚设。例如防火墙,它是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目的就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭受外界因素的干扰和破坏。如有人为了避开防火墙服务器的额外认证,进行直接的PPP连接,就会使防火墙失去保护作用。

(3)计算机病毒的危害。 计算机病毒是一个能够通过修改程序,把自身复制进去进而去传染其它程序的程序。它并不独立存在,而是寄生在其他程序之中,它具有能自我“复制”并能“传播”这一基本特征,并在计算机网络内部反复地自我繁殖和扩散,危及网络系统正常工作,最终使计算机及网络系统发生故障和瘫痪。目前全世界的计算机活体病毒达14万多种,其传播途径不仅通过软盘、硬盘传播,还可以通过网络的电子邮件和下载软件传播。随着计算机应用的发展,人们深刻地认识到病毒对计算机信息系统造成严重的破坏。

(4) 黑客的威胁和攻击。 这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为2种:一种是网络攻击,以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察,他是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得对方重要的机密信息。这2种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄露。网络软件不可能是百分之百的无缺陷和无漏洞的,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。黑客入侵的例子枚不胜举,从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。

3计算机网络安全防范措施

针对网络系统现实情况,处理好网络的安全问题是当务之急。为了保证网络安全采用如下方法:

(1)配置防火墙。防火墙将内部网和公开网分开,实质上是一种隔离技术。它是网络安全的屏障,是保护网络安全最主要的手段之一。免费论文。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进人自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客随意访问自己的网络。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。免费论文。

(2)安装防病毒网关软件。防病毒网关放置在内部网络和互联网连接处。当在内部网络发现病毒时,可能已经感染了很多计算机,防病毒网关可以将大部分病毒隔离在外部,它同时具有反垃圾邮件和反间谍软件的能力。当出现新的病毒时,管理员只要将防病毒网关升级就可以抵御新病毒的攻击。

(3)应用入侵检测系统。入侵检测技术是近20年来出现的一种主动保护自己免受黑客攻击的新型网络安全技术。它能够检测那些来自网络的攻击,检测到超过授权的非法访问。一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务的性能。它从系统运行过程中产生的或系统所处理的各种数据中查找出威胁系统安全的因素,并对威胁做出相应的处理。免费论文。入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。

(4)利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,可以采用对各个子网做一有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。

(5)采用漏洞扫描技术。漏洞扫描是针对特定信息网络中存在的漏洞而进行的。信息网络中无论是主机还是网络设备都可能存在安全隐患,有些是系统设计时考虑不周而留下的,有些是系统建设时出现的。这些漏洞很容易被攻击,从而危及信息网络的安全。漏洞扫描是自动检测远端或本地主机安全的技术,它查询TCP/IP各种服务的端口,并记录目标主机的响应,收集关于某些特定项目的有用信息。它的具体实现是安全扫描程序,扫描程序可以在很短的时间内查出现存的安全脆弱点。扫描程序开发者利用可得到的攻击方法,把它们集成到整个扫描中,扫描后以统计的格式输出,便于参考和分析。

(6)应用数据加密技术。数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。

(7)常做数据备份。由于数据备份所占有的重要地位,它已经成为计算机领域里相对独立的分支机构。时至今日,各种操作系统都附带有功能较强的备份程序,但同时也还存在这样或那样的缺陷;各类数据库管理系统也都有一定的数据复制的机理和功能,但对整个系统的数据备份来说仍有不够完备之处。所以,若想根本解决整个系统数据的可靠备份问题,选择专门的备份软、硬件,建立专用的数据备份系统是不可缺少的。

结语

随着网络的迅速发展,网络技术的日渐更新,网络时代的计算机信息安全越来越重要,网络安全是一个系统的工程,需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,才能生成一个高效、通用、安全的网络系统。

f参考 文 献 ]

[1卢开澄:《计算机密码学一计算机网络中的数据预安全》(清华大学出版社1998).

[2余建斌:《黑客的攻击手段及用户对策》(北京人民邮电出版社1998).

[3〕蔡立军:《计算机网络安全技术》(中国水利水电出版社2002).

[41邓文渊、陈惠贞、陈俊荣:(ASP与网络数据库技术》(中国铁道出版社2003.4).

篇6

随着信息产业的高速发展,众多企业都利用互联网建立了自己的信息系统,以充分利用各类信息资源。但是我们在享受信息产业发展带给我们的便利的同时,也面临着巨大的风险。我们的系统随时可能遭受病毒的感染、黑客的入侵,这都可以给我们造成巨大的损失。本文主要介绍了信息系统所面临的技术安全隐患,并提出了行之有效的解决方案。

关键字:信息系统信息安全身份认证安全检测

Abstract:

Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.

Keywords:InformationsystemInformationsecurity

StatusauthenticationSafeexamination

一、目前信息系统技术安全的研究

1.企业信息安全现状分析

随着信息化进程的深入,企业信息安全己经引起人们的重视,但依然存在不少问题。一是安全技术保障体系尚不完善,企业花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业信息安全的标准、制度建设滞后。

2003年5月至2004年5月,在7072家被调查单位中有4057家单位发生过信息网络安全事件,占被调查总数的58%。调查结果表明,造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%,登录密码过于简单或未修改密码导致发生安全事件的占19%.

对于网络安全管理情况的调查:调查表明,近年来,使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明,认为单位信息网络安全防护能力“较高”和“一般”的比较多,分别占44%。但是,被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平和社会化服务的程度还比较低。

2.企业信息安全防范的任务

信息安全的任务是多方面的,根据当前信息安全的现状,制定信息安全防范的任务主要是:

从安全技术上,进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。

从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。

信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。

二、计算机网络中信息系统的安全防范措施

(一)网络层安全措施

①防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。

防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。

②入侵检测技术

IETF将一个入侵检测系统分为四个组件:事件产生器(EventGenerators);事件分析器(EventAnalyzers);响应单元(ResponseUnits)和事件数据库(EventDataBases)。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。

根据检测对象的不同,入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。最近出现的一种ID(IntrusionDetection):位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(PromiseMode),对所有本网段内的数据包并进行信息收集,并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。

对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(CSignature-Based),另一种基于异常情况(Abnormally-Based)。

(二)服务器端安全措施只有正确的安装和设置操作系统,才能使其在安全方面发挥应有的作用。下面以WIN2000SERVER为例。

①正确地分区和分配逻辑盘。

微软的IIS经常有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。本系统的配置是建立三个逻辑驱动器,C盘20G,用来装系统和重要的日志文件,D盘20G放IIS,E盘20G放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。因为,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。

②正确

地选择安装顺序。

一般的人可能对安装顺序不太重视,认为只要安装好了,怎么装都可以的。很多时候正是因为管理员思想上的松懈才给不法分子以可乘之机。Win2000在安装中有几个顺序是一定要注意的:

首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Win2000SERVER之前,一定不要把主机接入网络。

其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装,尽管很麻烦,却很必要。

(三)安全配置

①端口::端口是计算机和外部网络相连的逻辑接口,从安全的角度来看,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性——TCP/IP——高级——选项——TCP/IP筛选中启用TCP/IP筛选,不过对于Win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口;这样对于需要开大量端口的用户就比较麻烦。

②IIS:IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,所以在本系统的WWW服务器采取下面的设置:

首先,把操作系统在C盘默认安装的Inetpub目录彻底删掉,在D盘建一个Inetpub在IIS管理器中将主目录指向D:\Inetpub。

其次,在IIS安装时默认的scripts等虚拟目录一概删除,这些都容易成为攻击的目标。我们虽然已经把Inetpub从系统盘挪出来了,但这样作也是完全必要的。如果需要什么权限的目录可以在需要的时候再建,需要什么权限开什么。特别注意写权限和执行程序的权限,没有绝对的必要千万不要给。

③应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指出的是ASP,ASP和其它确实需要用到的文件类型。我们不需要IIS提供的应用程序的映射,删除所有的映射,具体操作:在IIS管理器中右击主机一属性一WWW服务编辑一主目录配置一应用程序映射,然后就一个个删除这些映射。点击“确定”退出时要让虚拟站点继承刚才所设定的属性。

经过了Win2000Server的正确安装与正确配置,操作系统的漏洞得到了很好的预防,同时增加了补丁,这样子就大大增强了操作系统的安全性能。

虽然信息管理系统安全性措施目前已经比较成熟,但我们切不可马虎大意,只有不断学习新的网络安全知识、采取日新月异的网络安全措施,才能保证我们的网络安全防御真正金汤。

参考文献:

刘海平,朱仲英.一个基于ASP的在线会员管理信息系统.微型电脑应用.2002(10)

东软集团有限公司,NetEye防火墙使用指南3.0,1-3

贾晶,陈元,王丽娜编著,信息系统的安全与保密,第一版,1999.01,清华大学出版社

EricMaiwald,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94

杨兵.网络系统安全技术研究及其在宝钢设备采购管理系统中的应用:(学位论文).辽宁:东北大学,2002

刘广良.建设银行计算机网络信息系统安全管理策略研究:(学位论文).湖南:湖南大学.2001

篇7

关键字:ASP

网络安全

服务器 措施

The network security of the information system based on the ASP

Abstract:This article first introduced the basic principle of the ASP technology, then elaborated the common security loophole and the technical security hidden danger of information system based on the ASP technology. Finally,explained the safe guard measure of the information system based on the ASP from the network level, the server broke, the database level these three aspects in detail .

Keywords:ASP

network security

server

measures

随着信息技术的高速发展,企业通过网络建立了自己的信息管理系统,但是大多数企业的信息管理系统却另人担忧。因此,了解并学习关于信息管理系统网络安全方面的知识是非常有必要的。

一、ASP技术的基本原理

ASP(Microsoft Active Server Pages)是微软开发的一套服务端脚本环境,它是一系列对象和组件的集合。ASP文件就是嵌入可执行脚本HTML文档,将HTML和Active控件结合起来,以产生和执行动态的、交互的、高性能的Web服务器应用程序,扩展名为.asp。 ASP技术是一种用以取代CGI(通用网关接口,Common Gateway Interface)的技术。简单讲,ASP是位于服务器端的脚本运行环境,通过这种环境,用户可以创建和运行动态的交互式Web服务器应用程序,如交互式的动态网页,包括使用HTML表单收集和处理信息、上传与下载等,就像用户在使用自己的CGI程序一样,但它比CGI简单得多。更重要的是,ASP使用的ActiveX技术基于开放设计环境,用户可以自己定义和制作组件加入其中,使自己的动态网页几乎具有无限的扩充能力,这是传统的CGI等程序所远远不及的地方。此外,ASP可利用ADO (Active Date Object,微软的一种新的数据访问模型,类似于DAO)方便地访问数据库,使开发基于WWW的应用系统成为可能。目前国内有许多企业、部门正在使用ASP技术管理信息,但是网络安全却另人担忧,下面从三个方面讲解基于ASP的信息系统的安全防范措施。

二、基于ASP的信息系统的安全防范措施

(一)网络层安全措施

①防火墙技术

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全 。

防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN 。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。

对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(C Signature-Based ),另一种基于异常情况(Abnormally-Based )。

(二)服务器端安全措施 只有正确的安装和设置操作系统,才能使其在安全方面发挥应有的作用。下面以WIN2000 SERVER 为例。

①正确地分区和分配逻辑盘。

微软的IIS经常有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。本系统的配置是建立三个逻辑驱动器,C盘20G,用来装系统和重要的日志文件,D盘20G放IIS, E盘20G放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。因为,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。

②正确地选择安装顺序。

一般的人可能对安装顺序不太重视,认为只要安装好了,怎么装都可以的。很多时候正是因为管理员思想上的松懈才给不法分子以可乘之机。Win2000在安装中有几个顺序是一定要注意的:

首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Win2000 SERVER之前,一定不要把主机接入网络。

其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如: IIS的HotFix就要求每次更改IIS的配置都需要安装,尽管很麻烦,却很必要。

(三)安全配置

①端口::端口是计算机和外部网络相连的逻辑接口,从安全的角度来看,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性——TCP/IP——高级——选项——TCP/IP筛选中启用TCP/IP筛选,不过对于Win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口;这样对于需要开大量端口的用户就比较麻烦。

②IIS: IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,所以在本系统的WWW服务器采取下面的设置:

首先,把操作系统在C盘默认安装的Inetpub目录彻底删掉,在D盘建一个Inetpub在IIS管理器中将主目录指向D: /Inetpub。

其次,在IIS安装时默认的scripts等虚拟目录一概删除,这些都容易成为攻击的目标。我们虽然已经把Inetpub从系统盘挪出来了,但这样作也是完全必要的。如果需要什么权限的目录可以在需要的时候再建,需要什么权限开什么。特别注意写权限和执行程序的权限,没有绝对的必要千万不要给。

③应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指出的是ASP, ASP和其它确实需要用到的文件类型。我们不需要IIS提供的应用程序的映射,删除所有的映射,具体操作:在IIS管理器中右击主机一属性一WWW服务编辑一主目录配置一应用程序映射,然后就一个个删除这些映射。点击“确定”退出时要让虚拟站点继承刚才所设定的属性。

经过了Win2000 Server的正确安装与正确配置,操作系统的漏洞得到了很好的预防,同时增加了补丁,这样子就大大增强了操作系统的安全性能。

(三)数据库系统安全控制

数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄密和破坏。为了保证业务应用系统后台数据库的安全性,采用基于Client/Server模式访问后台数据库,为不同的应用建立不同的服务进程和进程用户标识,后台数据库系统以服务器进程的用户标识作为访问主体的标识,以确定其访问权限。我们通过如下方法和技术来实现后台数据库的访问

控制。

①访问矩阵

访问矩阵就是以矩阵的方式来规定不同主体(用户或用户进程)对于不同数据对象所允许执行的操作权限,并且控制各主体只能存取自己有权存取的数据。它以主体标行,访问对象标列,访问类型为矩阵元素的矩阵。Informix提供了二级权限:数据库权限和表权限,并且能为表中的特定字段授予Select和Update权限。因此,我们在访问矩阵中定义了精细到字段级的数据访问控制。

②视图的使用

通过视图可以指定用户使用数据的范围,将用户限定在表中的特定字段或表中的特定记录,并且视图和基础表一样也可以作为授权的单位。针对不同用户的视图,在授权给一用户的视图中不包括那些不允许访问的机密数据,从而提高了系统的安全性。

③数据验证码DAC

对后台数据库中的一些关键性数据表,在表中设置数据验证码DAC字段,它是由银行密钥和有关的关键性字段值生成。不同记录的DAC字段值也不相同。如果用户非法修改了数据库中的数据,则DAC效验将出错,从而提高了数据的安全性。

虽然基于ASP技术的信息管理系统安全性措施目前已经比较成熟,但我们切不可马虎大意,只有不断学习新的网络安全知识、采取日新月异的网络安全措施,才能保证我们的网络安全防御真正金汤。

参考文献:

[1]刘海平,朱仲英.一个基于ASP的在线会员管理信息系统.微型电脑应用.2002 (10)

[2]东软集团有限公司,NetEye防火墙使用指南3.0,1-3

[3]贾晶,陈元,王丽娜编著,信息系统的安全与保密,第一版,1999.01,清华大学出版社

[4] Eric Maiwald, Security Planning & Disaster Recovery,2003,Posts & Telecommunications Press,

PP. 86-94

[5]杨兵.网络系统安全技术研究及其在宝钢设备采购管理系统中的应用:(学位论文).辽宁:东北大学,2002

[6]刘广良.建设银行计算机网络信息系统安全管理策略研究:(学位论文).湖南:湖南大学.2001

篇8

关键词:建筑防火防火分离技术应用

中图分类号: G267文献标识码:A 文章编号:

随着我国经济额的不断发展,现代建筑技术也不断提高,相应的对建筑的火灾预防工作的要求也越来越高。这就给建筑的火灾预防工作增加了难度,消防就需要更高的技术支持。在我们现在所应用的建筑防火技术中,钢化玻璃和窗玻璃的喷头组合在一起就成了一种现在使用率很高的防火技术,钢化玻璃也可以用热增强型玻璃来替代。

1 防火分隔的作用及其种类

防火分隔最早是在1986年出版的《消防基本术语》出现,其中对他的定义就是,防火分隔就是用一些具有耐火特点的建筑构件,将建筑进行分隔,这样才出现火灾之后就可以减缓蔓延的速度,火灾处理起来也比较方便,只需要将已经被隔离的失火区域进行灭火就行。这其中的耐火的材料一般有耐火的楼板、防火的卷帘门还有一些耐火隔墙等等。使用这些耐火的建筑材料可以将整体的建筑划分成一个一个的防火区域,这样就可以利用这些防火区域来阻止大火在建筑里面的蔓延,火灾也就不会对建筑产生多少的损失,以后修复起来也简单,另外,这些防火区域还可以作为安全疏散通道,火灾发生的时候,建筑里的人群可以从这些防火区域中逃生,消防人员也可以从这些区域进入进行灭火工作。

防火分隔根据其防止火灾的方向和防火区以外的空间的火势蔓延情况可以分为两种,一种就是竖向的防火分隔,这是用来阻隔那些小高层或是高层建筑的每个楼层之间的火灾蔓延,另外一种就是水平的防火分隔,这主要是用来防止火灾水平蔓延的。现在在我国已经有很多成功运用防火分隔的案例,取得了很好的防火效果。所以,在水平和垂直方向上来控制火灾的蔓延对于保护建筑以及建筑里面人群的生命财产安全具有非常重要的作用。

2 防火分隔的传统运用

在通常情况下,我们会采用防火墙、防火隔墙、防火卷帘、防火门窗、阻火圈等等一些防火分隔设施来进行建筑的防火分隔,虽然都具有一定的效果,可是在使用的时候却有着不一样的应用。

2.1 防火墙

防火墙就是那些直接用在混凝土框架上那些用来阻挡大火蔓延的墙,这个墙是用一些不能燃烧的普通的粘土砖、钢筋混凝土还有天然的一些石料等等材料混合建筑的,为了让它有防火的功能,防火墙上面是不能够有洞口或者是门窗的,如果必须要在墙上开设,那也一定要是具有高品质的防火门窗,这些门窗还是需要能够自动关闭的。另外,防火墙内部不能够设置排气道,天然气等一些可燃气体绝不能从墙内穿过,如果必须穿过的话,还应该用一些不可燃烧的材料,将管道旁边的缝隙填满。

2.2 防火隔墙

防火隔墙的种类比较多,一般都是用不易燃烧的材料包裹住不可燃烧的材料保护制作成的,它与防火墙有所不同,防火隔墙必须要经过耐火极限的测试之后才可以按照一定的标准进行生产和安装使用的。现在各类工业和建筑中使用的都是那些轻质防火隔墙,因为这些轻质防火隔墙具有质量轻、隔热隔声效果良好、强度高以及抗震性好的特点,所以,这种轻质防火隔墙已经成为高楼建筑中防火设施里必不可少的一种。

2.3 防火卷帘

现在这种空间比较大的建筑是越来越多,有些地区要是设置防火墙的话会很不方便而且也不美观,所以很多建筑都选用了防火卷帘。在一些单层的产房还有一些底层的建筑可以使用防火水幕或者是那种防火卷帘再加一层水幕进行分隔。在高层建筑中使用的是包括背火面温升和不包括背火面温升两种情况时使用不同的防火卷帘。

2.4 防火门窗

防火门窗主要是用在防火墙的开口处、楼梯的入口、疏散走道还有就是空调自动灭火系统等一些重要设备间开口的地方,防火门是面向疏散方向开启的平开门,在关闭防火门之后需要用手来开启防火门,在防火墙、疏散通道、楼梯口等等地方使用的防火门都应该是可以自动关闭的,如果安装了多扇的防火门之后,这些门应该要能够按照顺序关闭。对于那些经常开的防火门,如果发生火灾,一定要能够自行关闭,并且及时反馈火灾的信息,还有那些设置在变形缝附近的防火门,应该是设在楼层比较多的那一侧,并且把门打开之后,不能够超过那条变形缝。

2.5 防火排烟阀

在很多建筑里都设置了一些通风排烟或者是空调系统,如果发生火灾,那这些系统中的管道就会成为大火燃烧所产生的烟雾火苗蔓延的通道,为了防止这种情况发生,就必须在这些系统相应的位置设置防火阀或者是排烟防火阀。防火阀是那些安装在通风空调等系统管道上的平常是开启状态的阀门,这些阀门若是在温度达到70摄氏度以上就会自动关闭,而且这些阀门都是具有很高的耐火稳定性和完整性。排烟防火阀是安装在排烟系统管道上的,平时是关闭的状态,它是可以根据需要,按照控制中心所发出的信号来将排烟阀打开,既可以排除在火灾初期所产生的火焰,还可以将管道内的浓烟进行排除。

3 防火分隔新技术的运用

3.1 新技术的概况

防火卷帘会在高温的情况下发生脱落,无法达到防火效果,耐火隔墙会让建筑失去美感,现在所使用的防火分隔的技术都存在着一些欠缺,而有钢化玻璃和窗玻璃喷头组合形成的新的防火分隔却能够在一定程度上改善这种局面。这是一种新的技术,在这组合中的钢化玻璃可以用热增型的玻璃来代替,不过这种玻璃的厚度不应该少于6毫米,玻璃与玻璃之间使用硅密封剂或者是不可燃的竖框进行连接。窗玻璃喷头是为了能够在发生火灾时给玻璃降温,同时还为了保证整个系统的一个完整性,这样既能够控制玻璃背面的温度,还可以防止玻璃背面的可燃物被点燃。

3.2 该新技术的有关试验

这种将钢化玻璃和窗玻璃喷头相组合形成的新的防火分隔,是已经得到了相关的权威机构的认证,包括:BMEC (BuildingMaterialsEvaluation Commission)、UL (Underwriters Laboratories) 以及ICC―ES (ICCEvaluationService) 等等,要知道这些机构可是北美甚至是全世界比较权威的对建筑耐火构建以及洒水喷头等等进行认证的机构,这足以说明这项技术是可行的。目前世界上已经开展过的有关这线技术的实验差不多有三个方面,这三个方面基本上是UL认证机构根据ASTME.119《建筑构件和材料火灾试验标准方法》中有关要求进行的,所以可信度很高。

4 使用新型防火分隔所需要注意的事项

在对高层建筑所需的防火分隔进行设计的时候,一定要先考虑建筑对防火等级的要求,然后再根据这个防火等级去考虑其他的内容。第一,系统的类型。在选择窗玻璃头的时候,应该选择那些具有独立喷淋系统的窗玻璃头,喷头需要设置在钢化玻璃的两侧,而且必须是均匀分布,这样才能够达到阻止火灾通过钢化玻璃的一侧蔓延到另一侧,选择的喷淋系统可以是雨淋系统或者是湿式系统。第二,钢化玻璃的安装。钢化玻璃应该是不能够开启的,而且安装钢化玻璃所选用的框架必须是防火的不可燃材料,将玻璃和框架之间的缝隙进行密封所选的应该是三元乙丙橡胶条,另外使用不可燃竖框或者硅密封剂连接两块窗玻璃之间的垂直接缝。第三,水力计算。若是那些建筑空间没有设置喷淋系统来进行保护,那么就需要计算最不利玻璃的那边所有的喷头的水力,若是有采用喷淋系统保护措施,那就应该计算所有雨淋阀能够控制的喷头。

5 结语

随着我国经济的不断发展,人们对高层建筑的防火也是越来越关注,对其提出的要求也是越来越多,不但防火效果要好,还要能够符合人们的审美观,要让人们觉得这是人性化的设计。所以,防火分隔的技术也是在不断的进步,在未来,防火分隔的技术一定能够用优美的外形,实质的用处博得所有建筑设计师的亲睐,获得国民的喜爱。

参考文献

[1] 伊国明.水幕防火分隔技术[期刊论文]消防科技,1992.

篇9

关键词:防火墙;校园网;网络安全

1引言

科学技术的飞速发展,人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域,因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展,给人们的生活带来了全新地感受,人类社会各种活动对信息网络地依赖程度已经越来越大。然而,凡事“有利必有弊”,人们在得益于信息所带来的新的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”,“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间,商家与商家之间的一种重要的攻击与防卫手段。因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱。对此,我们既不能对那些潜在的危险不予重视,遭受不必要的损失;也不能因为害怕某些危险而拒绝因特网的各种有益的服务,对个人来说这样会失去了了解世界、展示自己的场所,对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。

2防火墙的概念

防火墙一词最早源于建筑行业,当构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物被称之为防火墙。在今日的电子信息世界里,人们借助了这个概念,使用防火墙来保护敏感的数据不被窃取和篡改,不过这些防火墙是由先进的计算机系统构成的。今天的防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔在被保护的内部网与不安全的非信任网络之间,用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。

3防火墙的相关参数

1)样式:标准1U——4U机箱,根据接口数量、处理性能等不同而异。

2)网络接口数量:标准一般配置3个10/100M自适应接口,根据需要可以定制更多接口,有些还可热拔插。

3)网络接口类型:标准一般是10/100-Base-TX接口,也有其他类型接口。

4.电源:一般是单电源,特殊场合可以配置双电源,但需要定制。

5.硬件平台架构:大多基于X86工控平台,也有基于NP加速的产品6.处理器:多数的是CPU,极少数是CPU+NPU7.软件平台:WindowsNT,也有直接基于开放LINUX架构改造,使用免费代码构建。

4校园网面对的安全威胁

4.1物理安全

保证计算机网络系统各种设备的物理安全是整个网络安全的前提。计算机网络的物理安全是在物理介质层次上数据传输、数据存储和数据访问安全。计算机网络的物理安全包括构成网络的相关基础设施的安全,网络的运行环境比如温度、湿度、电源等,自然环境的影响以及人的因素等对计算机网络的物理安全和运行的影响。物理安全是保护计算机网络设备、设施以及其它媒體免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web服务器、打印机等硬件实体和网络通信设备免受自然灾害、人为破坏和搭线攻击等。

4.2自然威胁

自然威胁主要是指由于自然原因造成的对网络设备硬件的损坏和网络运行的影响。主要包括以下几方面:

①自然灾害自然灾害对计算机网络设备或其它相关设施造成的损坏,或对网络运行造成的影响。如:雷击、火灾、水灾、地震等不可抗力造成的网络设备或网络通信线路的损坏,大雾对无线传输的影响。

②正常使用情况下的设备损坏在网络设中,所有的网络设备都是电子设备,任何电子元件也都会老化,因此由电子元件构成的网络设备都一个有限的正常使用年限,即使严格按照设备的使用环境要求使用,在设备达到使用寿命后均可能出现硬件故障或不稳定现象,从而威胁计算机网络的安全运行。

③设备运行环境网络的运行是不间断的。保证网络设备的安全运行,运行环境是一个很重要的因素。任何计算机网络都需要一个可靠的运行环境来保证其可靠地运行,其中主要包括周边环境和电源系统两大要素。

5高校校园网络防火墙网络安全策略

1)拒绝访问除明确许可以外的任何一种服务,即拒绝一切未予特许的东西。

2)允许访问除明确拒绝以外的任何一种服务,即允许一切未被特别拒绝的东西校园网防火墙的网络安全策略采取第一种安全控制的方针,确定所有可以被提供的服务以及它们的安全特性,然后开放这些服务,并将所有其它未被列入的服务排斥在外,禁止访问。

6防火墙的基本配置

学院采用的是防火墙,它的初始配置也是通过控制端口(Console)与PC机的串口连接,再通过超级终端(HyperTerminal)程序进行选项配置。也可以通过telnet和Tffp配置方式进行高级配置,但必需先由Console将防火墙的这些功能打开。

NETSCREEN防火墙有四种用户配置模式,即:普通模式(Unprivilegedmode)、特权模式(PrivilegedMode)、配置模式(ConfigurationMode)和端口模式(InterfaceMode)。

显示基本信息:

命令行基本信息收集:

netscreen>getsyst(得到系统信息)

netscreen>getconfig(得到config信息)

netscreen>getlogevent(得到日志)

功能问题需收集下列信息:

netscreen>setffiliter?(设置过滤器)

netscreen>debugflowbasic是开启基本的debug功能

netscreen>cleardb是清除debug的缓冲区

netscreen>getdbufstream就可以看到debug的信息了

性能问题需收集下列信息:

得到下列信息前,请不要重新启动机器,否则信息都会丢失,无法判定问题所在。netscreen>Getpercpudetail(得到CPU使用率)

netscreen>Getsessioninfo(得到會话信息)

netscreen>Getpersessiondetail(得到会话详细信息)

netscreen>Getmac-learn(透明方式下使用,获取MAC硬件地址)

netscreen>Getalarmevent(得到告警日志)

netscreen>Gettech>tftp202.101.98.36tech.txt(导出系统信息)

netscreen>Getlogsystem(得到系统日志信息)

netscreen>Getlogsystemsaved(得到系统出错后,系统自动记录信息,该记录重启后不会丢失。设置接口-带宽,网关设置所指定的各个端口的带宽速率,单位为kb/s

Setinterfaceinterfacebandwidthnumber

unsetinterfaceinterfacebandwidth

设置接口的网关

setinterfaceinterfacegatewayip_addr

unsetinterfaceinterfacegateway

设置接口的接口的区域,IP地址zone就是网络逻辑上划分成区,可以在安全区或安全区内部接口之间实施策略:

设置接口的接口的区域

setinterfaceinterfacezonezone

unsetinterfaceinterfacezone

设置接口的IP地址

setinterfaceinterfaceipip_addr/mask

setinterfaceinterfaceipunnumberedinterfaceinterface2

unsetinterfaceinterfaceipip_addr

7总结

网络安全问题越来越引起世界各国的严密关注,随着计算机网络在人类生活各个领域的广泛应用,不断出现网络被非法入侵,重要资料被窃取,网络系统瘫痪等严重问题,网络、应用程序的安全漏洞越来越多;各种病毒泛滥成灾。这一切,已给各个国家以及众多商业公司造成巨大的经济损失,甚至危害到国家安全,加强网络安全管理已刻不容缓。

参考文献 

[1] 朱雁辉.WINDOWS 防火墙与网络封包截获技术[M].北京:电子工业出版社,2015 

[2] 常红等.网络安全技术与反黑客[M].长春:冶金工业出版社,2011 

篇10

论文摘要:随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。但随之而来的是,计算机网络安全也受到全所未有的威胁,计算机病毒无处不在,黑客的猖獗, 都防不胜防。

计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。从技术上来说, 计算机网络安全主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等。

一、计算机网络安全技术

(一)防火墙技术。防火墙是指一个由软件或硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。

(二)数据加密技术。与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。

1.对称加密技术。对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准DES,DES的成功应用是在银行业中的电子资金转账(EFT)领域中。2.非对称加密。在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。

(三)PKI技术。PKI技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术作为一种相对安全的技术,恰恰成为了电子商务、电子政务、电子事务的密码技术的首要选择,在实际的操作过程中他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题,而进一步保护客户的资料安全。

二、计算机网络安全存在的问题

(一)互联网络的不安全性。1.1网络的开放性,由于现代网络技术是全开放的,所以在一定程度上导致了网络面临着来自多方面的攻击。这其中可能存在来自物理传输线路的攻击,也有肯那个来自对网络通信协议的攻击,也包括来自于本地网络的用户,还可以是互联网上其他国家的黑客等等。1.2网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。 这也为了影响网络安全的一个主要因素。

(二)操作系统存在的安全问题。操作系统作为一个支撑软件,使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。

1.操作系统结构体系的缺陷。操作系统本身有内存管理、CPU管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。2.操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如FTP,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。3.操作系统不安全的一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上,特别是“打”在一个特权用户上,黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。

(三)防火墙的局限性。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合,使内部网与外部网之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。

三、结束语

计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。

参考文献: