常用的网络安全技术范文

时间:2023-09-22 17:20:06

导语:如何才能写好一篇常用的网络安全技术,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

常用的网络安全技术

篇1

关键词: 网络;安全;技术

中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2012)0410010-01

网络安全是一个关系国家安全和社会稳定的重要问题,它涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多门学科。其本质是确保网络上的信息安全,具体是指确保网络系统的硬件、软件及其系统中的数据不被偶然或者恶意地破坏、篡改和泄露,并保证网络系统能连续稳定正常地工作。网络安全问题已成为每一位用户不得不认真面对的问题。下面简单介绍目前比较流行的网络安全技术。

1 物理安全

提到网络安全,人们总是想到黑客通过Internet攻击远端系统,而忽略了本地直接的物理威胁。事实上直接的物理攻击所造成的损失要远大于通过网络的攻击。例如,热插拔服务器或磁盘阵列上的硬盘,偷取硬件设备,使用第三方工具软件重新引导系统后修改管理员账号密码等。

许多公司、组织使用了多种网络安全设备,但是它们的系统还是遭到了破坏。这主要是因为它们的机器没有被物理保护,也许是把服务器和安全设备放在一个公共区域,也可能是忽略了对安全场所的访问限制,使无关人员可以直接进入放置服务器的房间。有不良企图的人利用这些疏漏直接接触到目标设备,轻松打开一个安全突破口,对网络设备进行破坏,造成安全问题。要提高网络的物理安全性,应关注以下几个问题:1)服务器和安全设备是否都放置在上锁的机房内?2)网络设备是否处于被监控状态?3)是否有员工单独在敏感区域工作?

2 身份验证技术

身份验证是指用户向系统出示自己身份证明的过程,主要通过用户名和与之匹配的口令、智能卡、指纹、视网膜和声音等用户独有的特征,进行身份验证。基于口令的论证方式是一种最常见的身份验证技术。但是没有保护措施和过于简单的用户账号口令,是黑客进入系统的主要原因。许多潜在的问题,都可以通过严格的账户口令管理而避免,这包括使用强口令、建立密码策略和账户锁定策略等。只有满足这些要求,才能做到口令不易被猜到,并有效对抗暴力攻击(使用数字和字母的随机组合反复尝试,猜出用户名和口令)。下面介绍如何通过身份验证技术加强系统安全。

2.1 强口令。口令是系统安全的核心要素之一。如果口令的安全受到威胁,那么基础安全计划或模式就会受到影响。为了强制选择符合要求的口令,需要做的是不仅要在账户策略中选择合适的值,还要帮助用户选择强口令。强口令至少包含下面四种字符中的三种:大写字母,小写字母,数字,非字母数字字符,如标点符号等。在创建口令的时候,用户也应该遵守下列规则:不使用公用的个人信息,例如:电话;不在口令中重复使用某个字母或数字;避免将口令暴露在能够找到的地方,如把口令写在纸上,放在计算机附近的抽屉里。

2.2 Windows和强口令。Windows 2000和Windows 2003支持长达127个字符的口令,Windows NT只支持14个字符的口令,为了向后兼容,Microsoft建议口令不应超过14个字符。由于让用户记住127位字符的口令是不现实的,即使是14位字符的口令也很难记住,通常的方法是:使用至少7个字符的口令,其中不包含用户姓名的任何一部分,并且由大写字母、小写字母、数字和非字母数字的字符组成。

2.3 Windows密码策略。可以使用“本地安全设置”设置“密码策略”,强制用户使用强口令:强制密码满足复杂性要求;限制密码长度最小值;强制密码历史(确定操作系统将要记住的口令数量,如果用户选择的口令存在于口令历史数据库中,操作系统将强制此用户选择其他口令,防止用户在过短的时间内使用重复密码);限制密码最短使用期限。

2.4 Windows账户锁定策略。用户锁定是防止他人猜测口令的主要方法。在输入的非法口令达到给定的次数后,系统将禁用该账户。这种技术在阻止远程暴力攻击或基于字典穷举口令攻击的时候特别有用。锁定的时机最好定在3-5次非法登录尝试后。可以使用“本地安全设置”设置“账户锁定策略”。

3 访问控制技术

访问控制技术就是通过权限设置,限制特定用户对特定资源的访问。在网络操作系统中,权限是一个很关键的概念,因为它决定着用户是否能够访问某些文件或者修改系统配置。

3.1 Windows文件系统安全。要给单个文件设置访问权限,通常使用NTFS文件系统。如果使用FAT文件系统则不能给单个文件分配访问权限。NTFS文件系统提供了完全控制、修改、读取和运行、列出文件夹目录、读取、写入和特别的权限等7种权限,提供了审核、用户级别的安全、文件加密、文件压缩、从本地和远程驱动器上创建独立卷的能力等功能。

3.2 使用磁盘分区保护文件。为了在遭遇黑客攻击时尽量减少损失,通常把操作系统文件放在一个单独的分区。采用这种方法,与操作系统有关的问题很难扩散到其他包含数据的分区中。尽管使用独立的分区需要预先进行计划,但是它能带来非常明显的好处,最明显的是目录权限的管理更容易,数据目录可以按需要尽可能分布在多个分区。

篇2

关键词:电子商务;安全问题;安全策略

1电子商务中存在的两大类安全问题

1.1网络安全问题

现在随着互联网技术的发展,网络安全成了新的安全研究热点。网络安全就是如何保证网络上存储和传输的信息的安全性。网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁,概括来说网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等

1.2商务安全问题

商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。网上交易日益成为新的商务模式,基于网络资源的电子商务交易已为大众接受,人们在享受网上交易带来的便捷的同时,交易的安全性备受关注,网络所固有的开放性与资源共享性导致网上交易的安全性受到严重威胁。所以在电子商务交易过程中,保证交易数据的安全是电子商务系统的关键。

1.3目前电子商务中存在的主要安全问题

(1)对合法用户的身份冒充。攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,从而获得非法利益。

(2)对信息的窃取。攻击者在网络的传输信道上,通过物理或逻辑的手段,对数据进行非法的截获与监听,从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号,还能以欺骗的手法进行产品交易,甚至能洗黑钱。

(3)对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容,如修改消息次序、时间,注入伪造消息等,从而使信息失去真实性和完整性。

(4)拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻。

(5)对发出的信息予以否认。某些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。

(6)信用威胁。交易者否认参加过交易,如买方提交订单后不付款,或者输入虚假银行资料使卖方不能提款;用户付款后,卖方没有把商品发送到客户手中,使客户蒙受损失。

(7)电脑病毒。电脑病毒问世十几年来,各种新型病毒及其变种迅速增加,互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径,还有众多病毒借助于网络传播得更快,动辄造成数百亿美元的经济损失。如,CIH病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。

2电子商务中的主要安全技术

2.1电子商务的安全技术

互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈,这就对安全技术提出了更高的要求。安全技术是电子商务安全体系中的基本策略,是伴随着安全问题的诞生而出现的,安全技术极大地从不同层次加强了计算机网络的整体安全性。要加强电子商务的安全,需要企业本身采取更为严格的管理措施,需要国家建立健全法律制度,更需要有科学的先进的安全技术。安全问题是电子商务发展的核心和关键问题,安全技术是解决安全问题保证电子商务健康有序发展的关键因素。

2.2计算机网络安全技术

目前,常用的计算机网络安全技术主要有病毒防范技术、身份认证技术、防火墙技术和虚拟专用网VPN技术等。

(1)病毒是一种恶意的计算机程序,它可分为引导区病毒、可执行病毒、宏病毒和邮件病毒等,不同的病毒的危害性也不一样。为了防范病毒,可以采用以下的措施:

①安装防病毒软件,加强内部网的整体防病毒措施;

②加强数据备份和恢复措施;

③对敏感的设备和数据要建立必要的物理或逻辑隔离措施等。

(2)身份识别技术是计算机网络安全技术的重要组成部分之一。它的目的是证实被认证对象是否属实和是否有效。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、问题解答或者像指纹、声音等生理特征,常用的身份认证技术有口令、标记法和生物特征法。

(3)防火墙是一种将内部网和公众网如Internet分开的方法,它能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。它是电子商务的最常用的设备。

(4)虚拟专用网是用于Internet电子交易的一种专用网络,它可以在两个系统之间建立安全的通道,非常适合于电子数据交换(EDI)。在虚拟专用网中交易双方比较熟悉,而且彼此之间的数据通信量很大。只要交易双方取得一致,在虚拟专用网中就可以使用比较复杂的专用加密和认证技术,这样就可以大大提高电子商务的安全性。VPN可以支持数据、语音及图像业务,其优点是经济、便于管理、方便快捷地适应变化,但也存在安全性低,容易受到攻击等问题。

2.3商务交易安全技术

(1)加密技术是电子商务安全的一项基本技术,它是认证技术的基础。

采用加密技术对信息进行加密,是最常见的安全手段。加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。目前,在电子商务中,获得广泛应用的两种加密技术是对称密钥加密体制(私钥加密体制)和非对称密钥加密体制(公钥加密体制)。它们的主要区别在于所使用的加密和解密的密码是否相同。

(2)安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。

①数字摘要。

数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码(数字指纹Finger Print),并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。

②数字信封。

数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。这种技术的安全性相当高。

篇3

随着计算机技术和互联网技术的不断发展,网络技术已经被广泛应用于企业管理中。电子信息时代的网路安全技术是保证企业信息安全的坚强后盾,本文就网络安全技术在企业中的应用做出研究,总结网络安全问题的解决方案。

【关键词】网络安全技术 解决方案 企业网络安全

网络由于其系统方面漏洞导致的安全问题是企业的一大困扰,如何消除办企业网络的安全隐患成为企业管理中的的一大难题。各种网络安全技术的出现为企业的网络信息安全带来重要保障,为企业的发展奠定坚实的基础。

1 网络安全技术

1.1 防火墙技术

防火墙技术主要作用是实现了网络之间访问的有效控制,对外部不明身份的对象采取隔离的方式禁止其进入企业内部网络,从而实现对企业信息的保护。

如果将公司比作人,公司防盗系统就如同人的皮肤一样,是阻挡外部异物的第一道屏障,其他一切防盗系统都是建立在防火墙的基础上。现在最常用也最管用的防盗系统就是防火墙,防火墙又可以细分为服务防火墙和包过滤技术防火墙。服务防火墙的作用一般是在双方进行电子商务交易时,作为中间人的角色,履行监督职责。包过滤技术防火墙就像是一个筛子,会选择性的让数据信息通过或隔离。

1.2 加密技术

加密技术是企业常用保护数据信息的一种便捷技术,主要是利用一些加密程序对企业一些重要的数据进行保护,避免被不法分子盗取利用。常用的加密方法主要有数据加密方法以及基于公钥的加密算法。数据加密方法主要是对重要的数据通过一定的规律进行变换,改变其原有特征,让外部人员无法直接观察其本质含义,这种加密技术具有简便性和有效性,但是存在一定的风险,一旦加密规律被别人知道后就很容易将其破解。基于公钥的加密算法指的是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。这种加密方法具有较强的隐蔽性,外部人员如果想得到数据信息只有得到相关的只有得到唯一的私有密匙,因此具有较强的保密性。

1.3 身份鉴定技术

身份鉴定技术就是根据具体的特征对个人进行识别,根据识别的结果来判断识别对象是否符合具体条件,再由系统判断是否对来人开放权限。这种方式对于冒名顶替者十分有效,比如指纹或者后虹膜, 一般情况下只有本人才有权限进行某些专属操作,也难以被模拟,安全性能比较可靠。这样的技术一般应用在企业高度机密信息的保密过程中,具有较强的实用性。

2 企业网络安全体系解决方案

2.1 控制网络访问

对网络访问的控制是保障企业网络安全的重要手段,通过设置各种权限避免企业信息外流,保证企业在激烈的市场竞争中具有一定的竞争力。企业的网络设置按照面向对象的方式进行设置,针对个体对象按照网络协议进行访问权限设置,将网络进行细分,根据不同的功能对企业内部的工作人员进行权限管理。企业办公人员需要使用到的功能给予开通,其他与其工作不相关的内容即取消其访问权限。另外对于一些重要信息设置写保护或读保护,从根本上保障企业机密信息的安全。另外对网络的访问控制可以分时段进行,例如某文件只可以在相应日期的一段时间内打开。

企业网络设计过程中应该考虑到网络安全问题,因此在实际设计过程中应该对各种网络设备、网络系统等进行安全管理,例如对各种设备的接口以及设备间的信息传送方式进行科学管理,在保证其基本功能的基础上消除其他功能,利用当前安全性较高的网络系统,消除网络安全的脆弱性。

企业经营过程中由于业务需求常需要通过远端连线设备连接企业内部网络,远程连接过程中脆弱的网络系统极容易成为别人攻击的对象,因此在企业网络系统中应该加入安全性能较高的远程访问设备,提高远程网络访问的安全性。同时对网络系统重新设置,对登入身份信息进行加密处理,保证企业内部人员在操作过程中信息不被外人窃取,在数据传输过程中通过相应的网络技术对传输的数据审核,避免信息通过其他渠道外泄,提高信息传输的安全性。

2.2 网络的安全传输

电子商务时代的供应链建立在网络技术的基础上,供应链的各种信息都在企业内部网络以及与供应商之间的网络上进行传递,信息在传递过程中容易被不法分子盗取,给企业造成重大经济损失。为了避免信息被窃取,企业可以建设完善的网络系统,通过防火墙技术将身份无法识别的隔离在企业网络之外,保证企业信息在安全的网络环境下进行传输。另外可以通过相应的加密技术对传输的信息进行加密处理,技术一些黑客破解企业的防火墙,窃取到的信息也是难以理解的加密数据,加密过后的信息常常以乱码的形式存在。从理论上而言,加密的信息仍旧有被破解的可能性,但现行的数据加密方式都是利用复杂的密匙处理过的,即使是最先进的密码破解技术也要花费相当长的时间,等到数据被破解后该信息已经失去其时效性,成为一条无用的信息,对企业而言没有任何影响。

2.3 网络攻击检测

一些黑客通常会利用一些恶意程序攻击企业网络,并从中找到漏洞进入企业内部网络,对企业信息进行窃取或更改。为避免恶意网络攻击,企业可以引进入侵检测系统,并将其与控制网络访问结合起来,对企业信息实行双重保护。根据企业的网络结构,将入侵检测系统渗入到企业网络内部的各个环节,尤其是重要部门的机密信息需要重点监控。利用防火墙技术实现企业网络的第一道保护屏障,再配以检测技术以及相关加密技术,防火记录用户的身份信息,遇到无法识别的身份信息即将数据传输给管理员。后续的入侵检测技术将彻底阻挡黑客的攻击,并对黑客身份信息进行分析。即使黑客通过这些屏障得到的也是经过加密的数据,难以从中得到有效信息。通过这些网络安全技术的配合,全方位消除来自网络黑客的攻击,保障企业网络安全。

3 结束语

随着电子商务时代的到来,网络技术将会在未来一段时间内在企业的运转中发挥难以取代的作用,企业网络安全也将长期伴随企业经营管理,因此必须对企业网络实行动态管理,保证网络安全的先进性,为企业的发展建立安全的网络环境。

参考文献

[1]周观民,李荣会.计算机网络信息安全及对策研究[J].信息安全与技术,2011.

[2]韩萍,蔡志立.计算机网络安全与防范[J].硅谷,2011.

篇4

关键词:网络安全 威胁 技术

0 引言

网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。一影响计算机网络安全的因素很多,有人为因素,也有自然因素,其中人为因素的危害最大。

1 计算机网络的安全策略

1.1 物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

1.2 访问控制策略 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。

1.3 信息加密策略 信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

信息加密过程是由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。

1.4 网络安全管理策略 在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。

网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。

2 常用的网络安全技术

由于网络所带来的诸多不安全因素,使得网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全的通信服务。如今,快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯,网络安全的基本技术主要包括网络加密技术、防火墙技术、网络地址转换技术、操作系统安全内核技术、身份验证技术、网络防病毒技术。

2.1 网络加密技术 网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密,端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。

信息加密过程是由形形的加密算法来具体实施的,它以很小的代价提供很牢靠的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方的密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。

在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码算法和分组密码算法,前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。

网络加密技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件(或病毒)的有效方法之一。

2.2 防火墙技术 防火墙(Firewall)是用一个或一组网络设备(计算机系统或路由器等),在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示为:防火墙=过滤器+安全策略(+网关),它是一种非常有效的网络安全技术。在Internet上,通过它来隔离风险区域(即Internet或有一定风险的网络)与安全区域(内部网,如Intranet)的连接,但不防碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据,从而完成仅让安全、核准的信息进入,同时又抵制对企业构成威胁的数据进入的任务。

2.3 网络地址转换技术(NAT) 网络地址转换器也称为地址共享器(Address Sharer)或地址映射器,设计它的初衷是为了解决IP地址不足,现多用于网络安全。内部主机向外部主机连接时,使用同一个IP地址;相反地,外部主机要向内部主机连接时,必须通过网关映射到内部主机上。它使外部网络看不到内部网络,从而隐藏内部网络,达到保密作用,使系统的安全性提高,并且节约从ISP得到的外部IP地址。

2.4 操作系统安全内核技术 除了在传统网络安全技术上着手,人们开始在操作系统的层次上考虑网络安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。操作系统平台的安全措施包括:采用安全性较高的操作系统;对操作系统的安全配置;利用安全扫描系统检查操作系统的漏洞等。

美国国防部(DOD)技术标准把操作系统的安全等级分成了D1、C1、C2、B1、B2、B3、A级,其安全等级由低到高。目前主要的操作系统的安全等级都是C2级(例如,Unix、Windows NT),其特征包括:①用户必须通过用户注册名和口令让系统识别;②系统可以根据用户注册名决定用户访问资源的权限;③系统可以对系统中发生的每一件事进行审核和记录;④可以创建其他具有系统管理权限的用户。

2.5 身份验证技术 身份验证(Identification)是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份验证(或身份鉴别)。

它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否是合法的用户,如是合法的用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其身份验证是建立在对称加密的基础上的。

篇5

 

伴随计算机网络技术的广泛应用及普及,在经济、政治、科技、教育及军事等领域均有应用,给社会发展带来极大影响[1]。但是由于计算机网络的开放性、广泛性及联结性,及网络系统自身因素,存在诸多的风险因素,使得网络安全受到不同的威胁。所以,为确保网络安全,必须重视安全技术开发和研究工作。

 

1 计算机网络安全概述

 

1.1 计算机网络安全的涵义

 

计算机网络安全是一个总体性概念,其主要包括四个方面的安全:一是系统安全,也就是计算机操作系统能够准确区分用户,避免用户相互干扰,防止用户间修改数据;二是物理安全,也就是用于保护计算机软件及运行程序不会受到侵害;三是逻辑安全,即网络信息安全,也就是信息的完整性、有用性及保密性;四是传输安全,确保计算机网络传输资源不会被非法入侵操作,确保数据的保密性,及提升网络通信的信赖度。总体来看,就是一切设计网络信息的安全、保密、可控等方面的问题均属于网络安全范畴。

 

1.2 计算机网络安全影响因素

 

当前,对计算机网络安全的影响因素主要有这几方面:(1)IP协议缺陷,计算机网络是基于IP协议建立的,但是因IP协议在设计时过于注重实效性,在安全管理上的考虑不足,在互联网上的数据流未加密,使得电子邮件口令、文件传输等易被监听和盗取。(2)系统漏洞,因网络通信协议、系统等不完善,易留下不安全因素入侵空档。

 

比如在应用网络进行通信中,未设置必要的风险鉴别或采取相应风险防护措施,则易造成某些非法用户通过这些漏洞入侵到通信网络中,盗取或破坏用户的重要信息[2]。(3)病毒,这是威胁计算机网络安全最为主要的因素,可通过移动存储设备、电子邮件、文件传输等进行传播。往往系统受病毒侵害后易造成文件丢失、系统运行极为缓慢乃至崩溃等结果。

 

2 现阶段常用的新型网络安全技术

 

2.1 生物识别技术

 

生物识别技术是一种新型的、最为理想的一个网络安全防御系统。该项技术主要依靠人体特征来进行访问、登入等身份验证的安全防护方案。我们人体的特征是独一无二的,不可复制的,此识别技术比传统网络身份验证机制的安全系数有大幅提升。人体生物特征主要有声音、指纹、视网膜、虹膜等[2]。

 

其中,指纹认证是当前最受关注,也是具有唯一性、稳定性的技术,已逐步应用开来,但是在PC端指纹认证上还未得到广泛应用,有较大发展空间。AFIS自动化指标识别是现阶段最为成熟的一个身份验证系统,同时也是未来计算机网络安全生物识别技术的主要发展方向。

 

该项技术主要是通过外设设备来获得指纹数字化图像,并存在到计算机网络系统中,再通过先进的滤波、图像二值化及细化处理等来提取数字化图像的特征,最后应用相对复杂匹配算法对指纹特征予以匹配。此外,视网膜识别技术、声音识别技术在研究上也获得良好成果。

 

2.2 防火墙技术

 

防火墙是计算机硬软件构成的单一或一组系统,以强化内部网络和互联网间的访问管控。它是计算机网络内外系统间的第一道安全保障线,是内外网络创建的一个安全网关,进而有效防止潜在的、不可测的因素入侵。

 

其主要是通过检测、控制及更改穿越防火墙数据流达到保护网络安全的目的[3]。主要有数据包过滤器、电路层网关及应用层网关等三个类型,在实际应用中必须考虑到网络安全的级别、策略及运行环境等因素,以选用最为合适的一个类型,确保计算机网络安全得到必要的保护。

 

2.3 加密技术

 

加密技术是当前网络安全保障中的一个最为基本、最重要的技术措施,是网络信息安全保护的重要基础。该项技术的应用目的是保护网络中的数据、文件及各类控制信息,避免被窃听。当前,常用的加密技术有:(1)链路加密。一般将网络层之下的加密称为链路加密,主要是为了保护好网络通信节点间所传输的数据,通过线路设置的密码设备达成。依照传递数据同步方式可以分成同步和异步通信加密。

 

(2)节点加密。就是基于链路加密改进的一种加密技术,对协议传输层实施加密处理。目的在于保护好源节点和目标节点间进行传输的数据,和链路加密相类似,该项加密技术有效解决了链路加密中在节点处易受到非法取用的问题。(3)端端加密。实际上是网络层间的加密,是基于网络层主体的,主要是加密保护好应用层数据,通过软件就可实现,同时成本相对较低,但是密钥的管理有一定难度,主要适用于大型网络系统中信息在不同收发方间进行。(4)密钥加密,这是最为常用的安全网络防护技术,主要有两个类型:一是私用密钥,也就是通过一个密钥对网络数据予以加密处理,接收方在获取到数据之后,需通过同密钥予以解密。此种加密技术优点在于运算量较小,且具有较快的加密速度。

    不足之处就是密钥管理难度大,且如果密钥被泄露那么会直接威胁到网络信息的安全;二是公开密钥,每个用户均掌握一对密钥,分别为公开的和私用的。在进行信息发送时应用发送方公开密钥加密,接受方应用自身的私用密钥予以解密。该技术的加密算法的关键内容就是应用特殊函数,也就是从单一方向求值较易,但逆向计算则很困难[4]。因此,该项技术不但安全性高,也很容易管理,其不足之处在于加密和解密所需要的时间较长。

 

2.4 入侵检测技术

 

入侵检测(ID),也就是对入侵行为的一种发觉。其主要是通过收集,及系统分析计算机网络或系统中不同关键点信息,对网络或系统中有无存在违反安全防护策略的行为及被攻击迹象的检测。这是一种新型的、重要的网络安全技术,是防火墙技术的一个补充和完善,入侵检测不但能够发现网络系统入侵者非法行为,同时还可以准确识别系统信任、合法用户的不合理行为[5]。

 

入侵检测的软、硬件合理组合就是入侵检测系统(IDS),其功能主要包括这几点:监控、分析等活动;系统配置、较弱环节的检查;异常活动的监测;对关键系统、重要的数据文件开展全面、完整评估等。

 

通常情况下,入侵检测系统主要包括数据收集、分析及结果处理等功能模块,其运行原理就是,首先,数据收集功能模块从计算机主机中的日志、变动、网络数据等信息,以及流量变化等数据收集,并对此类数据予以简单处理,比如:简单化过滤、格式标准化等;其次,把经处理后的数据提交至数据分析功能模块。

 

该模块是入侵检测系统的关键内容,其主要通过分析和掌握数据特征对是否为入侵行为进行判断,同时依照分析结果传输到结果处理功能模块中。这一模块依照预定策略对检测行为及时做出相应的响应,比如:断开网络连接、记录报告检测结果等。

 

3 结语

 

总而言之,在计算机网络技术应用日益频繁的今天,网络安全技术是确保人们信息安全和网络安全的重要手段。所以,应在了解和掌握网络安全重要性及相关影响因素基础上,应在当前已有的各种网络安全技术上,加大创新和投入力度,不断推进网络安全技术的研发,为网络安全给予重要的技术支持。

篇6

关键词:计算机 网络安全 网络建设 安全技术

随着计算机网络的不断发展,信息全球化已成为人类发展的现实。但由于计算机网络具有多样性、开放性、互连性等特点,致使网络易受攻击。具体的攻击是多方面的,有来自黑客的攻击,也有其他诸如计算机病毒等形式的攻击。因此,网络的安全措施就显得尤为重要,只有针对各种不同的威胁或攻击采取必要的措施,才能确保网络信息的保密性、安全性和可靠性。

一、威胁计算机网络安全的因素

计算机网络安全所面临的威胁是多方面的,一般认为,目前网络存在的威胁主要表现在:

1、非授权访问

没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

2、信息泄漏或丢失

指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括:信息在传输中丢失或泄漏、信息在存储介质中丢失或泄漏、通过建立隐蔽隧道等窃取敏感信息等。

3、破坏数据完整性

以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。

4、拒绝服务攻击

它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

5、利用网络传播病毒

通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。

二、网络安全建设方法与技术

网络具有访问方式多样、用户群庞大、网络行为突发性较高的特点。网络安全问题要从网络规划阶段制定各种策略,并在实际运行中加强管理。为保障网络系统的正常运行和网络信息的安全,需要从多个方面采取对策。攻击随时可能发生,系统随时可能被攻破,对网络的安全采取防范措施是很有必要的。常用的防范措施有以下几种。

1、计算机病毒防治

大多数计算机都装有杀毒软件,如果该软件被及时更新并正确维护,它就可以抵御大多数病毒攻击。定期地升级软件是很重要的。在病毒入侵系统时,对于病毒库中已知的病毒或可疑程序、可疑代码,杀毒软件可以及时地发现,并向系统发出警报,准确地查找出病毒的来源。大多数病毒能够被清除或隔离。再有,对于不明来历的软件、程序及陌生邮件,不要轻易打开或执行。感染病毒后要及时修补系统漏洞,并进行病毒检测和清除。

2、防火墙技术

防火墙是控制两个网络间互相访问的一个系统。它通过软件和硬件相结合,能在内部网络与外部网络之间构造起一个“保护层”,网络内外的所有通信都必须经过此保护层进行检查与连接,只有授权允许的通信才能获准通过保护层。

3、入侵检测

攻击者进行网络攻击和入侵的原因,在于计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置,比如操作系统、网络服务、TCP/IP协议、应用程序、网络设备等几个方面。如果网络系统缺少预警防护机制,那么即使攻击者已经侵入到内部网络,侵入到关键的主机,并从事非法的操作,我们的网管人员也很难察觉到。这样,攻击者就有足够的时间来做他们想做的任何事情。

4、安全漏洞扫描技术

安全漏洞扫描技术可以自动检测远程或本地主机安全性上的弱点,让网络管理人员能在入侵者发现安全漏洞之前,找到并修补这些安全漏洞。安全漏洞扫描软件有主机漏洞扫描,网络漏洞扫描,以及专门针对数据库作安全漏洞检查的扫描器。各类安全漏洞扫描器都要注意安全资料库的更新,操作系统的漏洞随时都在,只有及时更新才能完全的扫描出系统的漏洞,阻止黑客的入侵。

5、数据加密技术

数据加密技术是最基本的网络安全技术,被誉为信息安全的核心,最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文,然后再进行信息的存储或传输,即使加密信息在存储或者传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。

6、安全隔离技术

面对新型网络攻击手段的不断出现和高安全网络的特殊需求,全新安全防护理念"安全隔离技术"应运而生。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成网络间信息的安全交换。隔离概念的出现是为了保护高安全度网络环境。

7、黑客诱骗技术

黑客诱骗技术是近期发展起来的一种网络安全技术,通过一个由网络安全专家精心设置的特殊系统来引诱黑客,并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐(Honeypot)系统,其最重要的功能是特殊设置的对于系统中所有操作的监视和记录,网络安全专家通过精心的伪装使得黑客在进入到目标系统后,仍不知晓自己所有的行为已处于系统的监视之中。

8、网络安全管理防范措施

对于安全领域存在的问题,应采取多种技术手段和措施进行防范。在多种技术手段并用的同时,管理工作同样不容忽视。规划网络的安全策略、确定网络安全工作的目标和对象、控制用户的访问权限、制定书面或口头规定、落实网络管理人员的职责、加强网络的安全管理、制定有关规章制度等等,对于确保网络的安全、可靠运行将起到十分有效的作用。网络安全管理策略包括:确定安全管理等级和安全管理范围;指定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。

参考文献:

篇7

关键词:网络信息;网络安全;安全策略;数据加密;网络攻击

中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)20-4826-02

Network Information Security and DefenseCivil Aviation College

HU Wei

(Guangzhou Zip Code, Guangzhou 510405,China)

Abstract: With the development of computer technology and information technology, network-based security has become increasingly prominent, and extranet or intranet are plagued by security problems. Positive measures should be taken in order to safeguard the security of network information.

Key words: network information; network security; security policy; data encryption; cyber attacks

1网络信息安全的概念和含义

网络信息安全包含三个基本要素。一是保密性,即保证信息为授权者享用而不泄露给未经授权者。二是完整性,即数据的完整性(未被未授权篡改或损坏)和系统的完整性(系统未被非授权操纵,按既定的功能运行)。三是可用性,即保证信息和信息系统随时为授权者提供服务,而不要出现非授权者滥用却对授权者拒绝服务的情况。实际上,计算机网络信息安全,就是通过采用各种技术措施和管理措施确保网络系统的正常运行,从而保证网络信息和数据的完整性、保密性和可用性,其目的是防止网络传输后的信息和数据不会发生改变和泄露。

网络信息系统是一个开放的信息共享的系统,因此网络信息系统在接受不同需求的用户访问时存在很大的安全隐患。网络信息的安全问题并不是单纯的技术问题,它包含了技术及管理等多个方面。因此,在网络信息安全问题上要综合考虑,在用户与安全之间寻找平衡点,通过技术和管理手段实现最佳安全效果。

2影响网络及网络信息安全的主要因素

对计算机和网络信息安全造成威胁的可分为两类:一是对网络本身的威胁,即这种威胁是针对网络设备和网络软件系统平台的;二是对网络中信息的威胁,即这种威胁是针对网络中的数据以及处理这些数据的信息系统和应用软件的。

影响计算机网络信息安全的因素有很多,其中一个主要的因素是来自于用户在操作中的失误,如口令选择不慎,随意将自己的账户借给他人或与他人共享等等,这些都会对网络信息安全造成威胁。然而,计算机网络信息安全所面临的最大威胁则来自于人为的恶意攻击。这种人为攻击分两种,一是主动攻击,即以各种方式对系统和数据的有效性和完整性进行有选择性的破坏。二是被动攻击,即在不影响网络和系统正常运行的情况下,对重要的机密信息进行截获和窃取。软件本身存在的缺陷和漏洞以及由于安全配置不当所造成的安全漏洞(如防火墙软件配置的不正确),这些也是威胁网络信息安全的因素之一。另外,还有一个威胁网络信息安全的因素就是计算机病毒。计算机病毒由于其特点具有隐蔽性、潜伏性、传染性和破坏性,因而对计算机网络信息安全所造成的破坏也十分巨大。

3应用于网络信息安全的主要技术

随着计算机技术及网络技术的发展,网络信息安全的内涵在不断延伸,从早期的信息保密性到信息的完整性、可用性、可控性和不可否认性,发展为攻击、防范、监测、控制、管理、评估等多方面的基础理论和实施技术。目前,网络信息常用的安全技术包括:入侵预防技术、防火墙技术、病毒防范技术、数据加密技术、漏洞扫描技术、蜜罐技术和系统容灾技术。

入侵预防技术就是根据事先设定好的防范规则,并依此规则来判断哪些行为可以通过,哪些行为带有威胁性。入侵预防技术重在预防,它能积极主动地加强桌面系统和服务器的安全,防止受到网络攻击和破坏。

防火墙技术是设置在不同网络或网络安全域之间的一系列部件的组合。防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据网络自身的安全政策控制出入网络的信息流,并具有较强的抗攻击能力。

病毒防范技术的注入方式为无线电方式、“固化”式方式、后门攻击方式和数据控制链攻击方式等。病毒防范技术的应用范围主要是对病毒客户端的管理、对邮件的传播进行控制、对有害信息进行过滤及建立多层次多级别的防病毒系统。

数据加密技术是在传输过程或存储过程中进行信息数据的加解密,常用的加密体制是采用对称加密和非对称加密。对称加密技术是指同时运用一个密钥进行加密和解密;非对称加密技术是指加密和解密所用的密钥不一样,它有一对密钥,分别为“公钥”和“私钥”,这两个密钥必须配对使用。

漏洞扫描技术就是通过一定的方法来检测系统中重要数据和文件是否存在黑客能利用的漏洞。通常有两种方法,一是端口扫描法,即通过端口扫描获知并查看是否存在漏洞。二是模拟黑客的攻击法,即通过模拟攻击测试安全漏洞。

蜜罐技术,简单地说,就是通过真实或模拟的网络和服务来吸引攻击,然后分析黑客攻击蜜罐期间的行为和过程,收集信息并发出预警。蜜罐技术虽然不会修补任何东西,也不会直接提高计算机网络安全,但它却是其他安全策略所不能替代的一种主动型防御技术。

系统容灾技术是指在较远的异地建立多套功能相同的IT系统,这些系统相互之间可以进行健康状态监视和功能切换,当一处系统因灾难停止运行时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作,这是异地容灾技术。还有一种本地容灾技术,即包括磁盘保护、数据保护和数据备份等,通过保护这些存储设备达到系统不被外来对象入侵的目的。

4网络信息安全防护思路

为了保证网络信息的安全性,降低网络信息面临的安全风险,靠单一的安全技术是不够的。根据信息系统面临的不同安全威胁和防护重点,有针对性地应用一些不同的网络安全防护方法。这里将给出一些有效的网络安全防护思路。

1)基于主动防御的边界安全控制:这是以内网应用系统保护为核心的,在各层的网络边缘建立多级的安全边界,从而实施进行安全访问的控制,防止恶意的攻击和访问。

2)基于攻击检测的综合联动控制:所有的安全威胁都体现为攻击者的一些恶意网络行为,通过安全设备与网络设备的联动进行有效控制,从而防止攻击的发生。

3)基于源头控制的统一接入管理:绝大多数的攻击都是通过终端的恶意用户发起,通过对介入用户的有效认证和终端检查,可以降低网络信息所面临的安全威胁。

4)基于安全融合的综合威胁管理:未来的大多数攻击将是混合型的攻击,功能单一的安全设备无法有效地防御这种攻击。因而综合性安全网关迅猛地发展起来。

5)基于资产保护的闭环策略管理:信息安全的目标就是保护资产,实现信息安全重在管理。在资产保护中,信息安全管理是重点,安全策略加实施安全管理并辅以安全技术相配合,形成对资产的闭环保护。

5结束语

当前,网络攻击手段正在不断复杂化、多样化,随之产生的信息安全技术和解决方案也在不断发展变化,同时,安全产品和解决方案也更趋于合理化、多样化和适用化。因此,对网络信息安全威胁和安全技术发展趋势的现状分析,并综合各种安全防护思路的优点,网络信息的安全防护应该逐步构建成可防、可控、可信的信息网络构架。

参考文献:

篇8

关键词:计算机;网络安全;结构;技术;云安全;完善

0 引言

网络安全技术指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,在网络技术高速发展的今天,对网络安全技术的研究意义重大,它关系到小至个人的利益,大至国家的安全。对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境,让网络安全技术更好的为广大用户服务。

1 计算机网络安全体系结构

计算机网络安全体系结构是由硬件网络、通信软件、防毒杀毒、防火墙以及操作系统构成的,对于一个系统而言,首先要以硬件电路等物理设备为载体,然后才能运行载体上的功能程序。对于小范围的无线局域网而言,最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵,目前广泛采用WPA2加密协议实现协议加密,通常可以将驱动程序看作操作系统的一部分,经过注册表注册后,相应的网络通信驱动接口才能被通信应用程序所调用。网络安全通常是指网络系统中的硬件、软件要受到保护,不能被更改、泄露和破坏,因此计算机网络安全涉及网络硬件、通信协议、加密技术等领域。

2 计算机网络安全技术研究

2.2.1 使用数据加密技术提高系统安全性

传统的信息加密技术和新兴的信息隐藏技术可为计算机信息的存储及传输提供安全保障,用户在进行绝密或重要信息的传输过程中,不仅要做好信息本身的加密,还可以利用隐藏技术对信息发送者、接受者及信息本身进行隐藏。常用的隐藏技术有隐藏术、数字嵌入、数据隐藏、数字水印和指纹技术。

2.2.2 安装防病毒软件和防火墙

在计算机主机上安装可靠性高的防病毒软件和防火墙,及时对主机的各个存储空间进行安全保护,定时扫描、修补可能出现的技术漏洞,做到及时发现异常,及时处理;防火墙是通过软、硬件组合,对企业内部网和外部网起到过滤网关的作用,从而严格控制外网用户的非法访问,并只打开允许的服务,防止外部网络拓展服务的攻击。

2.2.3 使用安全路由器

安全路由器的使用可将内部网络及外部网络进行安全隔离、互联,通过阻塞信息及不法地址的传输,保护企业内部信息及网络的安全性。安全路由器是对其芯片进行密码算法和加/解密技术,通过在路由器主板增加安全加密模件来实现路由器信息和IP包的加密、身份鉴别和数据完整性验证、分布式密钥管理等功能。

2.2.4 安装入侵检测系统和网络诱骗系统

计算机全防御体系是否完整有效的主要衡量因素为入侵检测能力的高低,入侵检测系统由软件和硬件组成;网络诱骗系统是通过构建虚假的计算机网络系统,诱骗入侵者对其进行攻击,从而起到保护实际网络系统的目的。

2.2.5 做好重要信息的备份工作

计算机信息存储工作要遵循多备份和及时更新的工作原则,数据信息可根据其重要性或数据量进行不同方式的存储:对于不需修改的重要数据可直接刻录光盘存储;需要修改的数据可存储在U盘或移动硬盘中;不重要的数据可存储在本地计算机或局域服务器中;较小数据可存储在邮箱中。

2.3 重视网络信息安全人才的培养

加强计算机网络人员的安全培训,使网络人员熟练通过计算机网络实施正确有效的安全管理,保证计算机网络信息安全。一方面要注意管理人员及操作人员的安全培训,在培训过程中提高专业能力、安全保密观念、责任心;对内部人员更要加强人事管理,定期组织思想教育和安全业务培训,不断提高网络人员的思想素质、技术素质和职业道德。

3 云计算安全技术分析

3.1 数据安全技术性分析

云计算服务模式包括软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(laaS)三种,这三种服务模式面临的主要问题是避免数据的丢失或被窃,因此,应在数据传输、隔离及残留方面进行安全保护。

首先,在使用公共云时,传输数据应采取加密算法和传输协议,以保证数据的安全性和完整性;其次,云计算供应商为实现服务的可扩展性、提高数据计算效率及管理等优势,多采用多租户模式,易与其他用户的数据混合存储,给数据的安全性带来威胁。在安全技术未发展至可给任意数据进行安全加密的阶段下,可采取的措施就是将重要或者敏感的数据与其他数据进行隔离,保障数据信息的安全性。最后,数据残留是数据安全遭受威胁的另一因素,云计算环境下,数据残留会无意泄露敏感信息,因此需要服务供应商能提供将用户信息进行彻底清除的保障。

3.2 云计算的应用安全技术性分析

云计算应用安全性需要终端用户及云服务商双方共同采取保护措施。一方面,云计算的终端用户应保证本人或本企业计算机的安全,利用安全软件降低计算机被不法分子进行技术攻击的可能。如反恶意软件、防病毒、个人防火墙以及IPS类型的软件等,可保护用户浏览器免受攻击,并能定期完成浏览器打补丁和更新工作,以保护云用户数据信息的安全性。另一方面,用户可使用客户端设备访问各种应用,但不能对云平台基础设备进行管理或者控制,因此,选择云平台供应商就显得十分重要。评价供应商主要原则为依据保密协议,要求供应商提供有关安全实践的信息,如设计、架构、开发、黑盒与白盒应用程序安全测试和管理。

3 结语

综上所述,计算机网络的应用越来越广泛,这就对安全方面提出了更高的要求,如何加强计算机网络安全就需要从多方面建立立体的计算机网络安全结构体系,从而确保计算机网络安全结构的科学和严密,提高对网络风险的控制和预防,真正的做到计算机网络应用的安全。

参考文献:

[1]焦开荣.计算机网络安全体系结构分析[J].科技风,2011(3):272.

篇9

一、网络信息安全所面临的主要问题

目前为止,网络信息安全问题主要可以分为两种:第一种是网络信息传播中的危险,第二种是连接到网络的终端会受到威胁。一般来说,对计算机用户造成威胁,既存在主观因素也存在客观因素,例如人为操作不当失误、有人进行恶意攻击。人为操作不当主要是由于没有保护好密码、使用互联网不规范而导致信息被盗。而这种情况一般是可以避免的,只要对操作人员进行一些教育和培训就可以避免。如果受到恶意攻击就比较严重,他们的攻击是有目的、有针对性的,可以获取到很多的资料信息。

二、当前流行的计算机网络信息安全技术

1.加密技术

对信息进行加密,这种技术已经有很长的一段历史,随着计算机技术的发展,加密技术也在不断成熟,在网络信息时代同样非常重要。对信息进行加密是一种主动的防御技术,主要是运用了加密算法的原理,把明文转变成一种不能直接读取的密文,需要输入正确的密钥才能再次转换成明文,这样就保护了用户的资料信息的安全。目前为止,一些比较常用的加密技术有:对称性加密、非对称性加密,这些方法都可以对信息进行有效的保护。

2.防火墙技术

防火墙技术是指利用不同执行控制策略的系统,建立起对计算机网络的监控。所以,防火墙是一种控制技术,可以通过在计算机系统中安装软件来实现,也可以通过增加硬件来实现。一般情况下,防火墙需要软件和硬件的共同组合,这样才能起到更有效的保护效果。它和加密技术的被动防护有着根本上的不同,防火墙是一种动态保护,更具有主动性。目前最常用的两种类型是包过滤防火墙和应用级防火墙,它们对计算机信息的保护更加有效。

3.数据备份和恢复技术

数据备份技术以及恢复技术可以对信息起到非常好的保护作用,如果信息被遗失或者是被破坏,都可以对一些非常重要的数据进行恢复。所以这种技术的发展是非常有必要的,而且还可以有效地帮助计算机网络信息安全管理工作,同时还要建立数据备份和恢复机制,这样才能更好地保护网络信息的安全。数据备份技术要用特殊的储存技术将计算机与互联网的数据进行储存,并且可以进行长期的保存,一旦计算机系统发生崩溃,或者由于其他原因造成数据丢失,就可以将备份过的数据进行恢复。但是在数据管理上要保证它们的独立性,可以保证数据不会被破坏,避免造成数据的完全丢失。

三、计算机网络信息安全技术的发展趋势

篇10

【关键词】 电力企业;网络安全;管理机制

一、电力企业网络安全存在的问题

网络本身存在着脆弱性,导致电力企业网络安全存在一定的危险性。威胁手段也分为好多种,包括计算机网络病毒的传播、用户安全意识薄弱、黑客手段的恶意攻击等等方式,导致网络存在许多安全问题。

1、计算机网络病毒的传播

一般来说,计算机网络的基本构成包括网络服务器和网络节点站。计算机病毒一般首先通过有盘工作站到软盘和硬盘进入网络,然后开始在网上的传播。具体地说,其传播方式有:病毒直接从有盘站拷贝到服务器中;病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中;如果远程工作站被病毒侵入,病毒也可以通过通讯中数据交换进入网络服务器中。计算机病毒具有感染速度快、扩散面广、传播的形式多样、难以彻底消除、破坏性大等特点。

2、用户安全意识的淡薄

目前,在网络安全问题上还存在不少认知盲区和制约因素,一部分用户认为只要在电脑上安装了杀毒软件,那么系统就是安全的,不会意外中毒。或者上网过程中无意点击一个网页链接就有可能中了别人的"套",有的是木马,有的是病毒,这恶意程序一旦运行就会读取你本地计算机的信息,你的安全防护即被打破。更有甚者,直接获取你的IP地址后直接入侵你的个人计算机,从而远程在线读取你本地磁盘的文件和相关信息,你确丝毫没有发现已被入侵。这样的网络安全意识淡薄的朋友们一定要注意一些垃圾网站和恶意链接。最值得一提的就是大多是用户在系统安装完成后,由于个人的惰性,不设置密码直接进入系统,或者有的设置密码了,但都是弱口令,很容易就能被破解。

3、黑客技术的恶意入侵

黑客技术是对计算机系统和网络的缺陷和漏洞的发现,以及针对这些缺陷实施攻击的技术。这里说的缺陷包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误等。黑客技术对网络具有破坏能力,导致了网络安全行业的产生。电力企业网络上有很多重要资料,包括机密度很高的资料。所以,想得到这些资料的人,会通过网络攻击人侵来达到目的。网络攻击人侵是一项系统性很强的工作,主要内容包括:目标分析、文档获取、密码破解、登陆系统、获取资料与日志清除等技术。一些常用的入侵方式有以下几种:口令入侵、特洛伊木马技术、监听法、e-mail技术、病毒技术、隐藏技术等。

二、电力企业网络安全的基本防范措施

计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。一般来讲,计算机网络安全的功能主要体现在网络、系统、用户、应用程序、数据等方面,每一面都应该有不同的技术来达到相应的安全保护。针对电力系统网络的脆弱性,需要采取的策略机制有以下几点:

1、密码策略

我们生活在信息时代,密码对每个人来说,并不陌生。在电力企业的网络运行环境中,密码更是显得尤为重要。可以这样说,谁掌握了密码,谁就掌握了信息资源。密码的重要性体现在很多方面:用户认证、访问控制、安全保密、安全审计、安全恢复等。2

密码的形成也不尽相同,它具有不同的加密方式:RSA算法、四方密码、替换加密法、换位加密法、波雷费密码,不同的加密法有各自的有点和缺点。密码技术有加密技术、认证技术和秘钥管理技术。密码分析者攻击密码的方式有:穷举攻击、统计分析攻击、数学分析攻击等。

2、防火墙机制

防火墙是在内部网和外部网之间实施安全防范的系统,是由一个或一组网络设备组成。防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙是最近几年发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制逾出两个方向通信的门槛。35防火墙逻辑位置示意图如下图1所示:

3、入侵检测技术

入侵检测(Intrusion Detection)是对入侵行为的发觉,是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实施保护。4Dennying于1987年提出了一个通用的入侵检测模型,如下图2所示:

4、虚拟局域网(VLAN)技术和虚拟专用网(VPN)技术

局域网的发展是VLAN产生的基础,每一个局域网都是一个单独的广播域,处于同一个子网的主机节点可以直接通信,而处于不同子网的设备主机之间要通信只能通过路由器或交换机进行。随着发展,局域网接入主机越来越多,网络结构也渐趋复杂,更多的主机和更多的路由器让整个网路时延增大,网路传输速率下降,因为数据包的从一个路由发到另一个路由,要查询路由表再选择最佳路径转发出去。

虚拟专用网络是企业网在因特网等公用网络上的延伸,通过一个私用的通道来创建一个安全的私有连接。虚拟专用网络通过安全的数据通道将远程用户、公司分支机构、公司的业务合作伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。VLAN用来在局域网内实施安全防范技术,而VPN则专用于企业内部网与Internet的安全互联。VPN不是一个独立的物理网络,他只是逻辑上的专用网,属于公网的一部分,是在一定的通信协议基础上,通过Internet在远程客户机与企业内网之间,建立一条秘密的、多协议的虚拟专线。

三、构建电力企业网络安全管理机制

一个完整的网络安全管理系统不只是依赖于高端的科技手段,还需要有优秀的管理模式,正所谓“三分技术,七分管理”。管理是企业发展中不可缺少的一部分,它直接影响到企业的生存和持续。只有建立完善的安全管理制度,才能使网络信息安全管理在企业中得到充分发挥,保证信息安全的完整性和可使用性。6

1、建立合理的管理措施

1.1、运行维护管理

建立信息机房管理制度,确保机房运行环境符合要求,机房出入进行严格控制并记录备案;加强信息化资产管理,建立信息化资产清单,并根据国家规定的资产标示规范对资产进行标识;对信息系统软硬件设备选型、采购、使用等实行规范化管理,建立相应操作规程,对终端计算机、工作站、便携机、系统和网络等设备操作实行标准化作业,强化存储介质存放、使用、维护和销毁等各项措施。定期开展运行日志和审计数据分析工作,及时发现异常行为并进行分析和总结。

1.2、人员行为管理

加强个人计算机信息安全和保密管理,严格用户帐户口令管理,严格执行内外网终端使用要求,严禁泄漏、窃取企业保密信息、敏感信息,做到信息不上网,上网信息不;严禁利用信息化系统及资源从事与企业业务无关的事项。加强信息安全督查,定期对网络和信息系统进行全面信息安全检查,包括现有信息安全技术措施的有效性、安全配置与安全策略的一致性、信息安全管理制度的执行情况等。建立信息安全通报及考核机制,定期通报信息安全问题,信息安全执行情况将纳入企业信息化考核。

2、建立精湛的技术措施

坚持“分区分域、分级保护”的总体防护策略,内外网物理隔离,信息系统按照等级保护要求进行防护,对基础设施、网络、应用、数据等进行全面的安全技术手段。

2.1、基础设施安全

信息机房的新建、改建、扩建必须按照国家有关规定和技术规范进行。信息机房附近的施工工作不得危害信息系统的安全。制定信息机房管理规范,加强机房安全监控,确保机房运行环境符合要求。信息系统测试环境和信息系统正式运行环境要物理分离。

2.2、网络安全

网络核心交换机、路由器等网络设备要冗余配置,合理分配网络带宽;根据业务需求划分不同子网,建立业务终端与业务服务器之间的访问控制;对重要网段采取网络层地址与数据链路层地址绑定措施。信息内网禁止使用无线网络组网;采用防火墙或入侵防护设备对网络边界实施访问审查和控制;对进出网络信息内容实施过滤,对应用层常用协议命令进行控制,网关应限制网络最大流量数及网络连接数;加强网络安全审计工作,定期分析审计报表。

2.3、应用安全

加强系统用户帐户管理,要求对用户身份进行鉴别,删除示例帐户、测试帐户,禁止帐户存在弱口令;加强系统访问控制管理,保证操作系统与数据库特权用户权限分离;加强系统资源控制,控制用户会话数和并发连接数,及时监测系统故障;加强系统安全审计,应定期生成系统审计报表,审计记录应受到保护,避免删除、修改或破坏。

2.4、数据安全

重要和敏感信息实行加密传输和存储;对重要数据实行自动、定期备份;对外网站应具有防篡改机制和措施。

综合上述几方面的论述,企业必须充分重视和了解网络信息系统的安全威胁所在,制定保障网络安全的应对措施,落实严格的安全管理制度,才能使网络信息得以安全运行。由于网络信息安全的多样性和互连性,单一的信息技术往往解决不了信息安全问题,必须综合运用各种高科技手段和信息安全技术、采用多级安全措施才能保证整个信息体系的安全。要做到全面的网络安全,需要综合考虑各个方面,包括系统自身的硬件和软件安全,也包括完善的网络管理制度以及先进的网络安全技术等。

参考文献

[1] 刘凡馨,《黑客攻防》,清华大学出版社2011

[2] 刘晓辉,《网络安全技术》,化学工业出版社2010

[3] 孟洛明,《现代网络管理技术》,北京邮电大学出版社2001

[4] 唐正军,《入侵检测技术导论》,机械工业出版社2004